Raspberry Pi boards are no longer constrained – these days, you can get a quad-core board with 8 or 16GB of RAM to go around, equip it with a heatsink, and get a decently comfortable shop/desk/kitchen computer with GPIOs, cameras, speedy networking, maybe even NVMe, and all the wireless you’d expect.

Raspberry OS, however, remains lightweight with its pre-installed LXDE environment – and, in many cases, it feels quite constrained. In case you ever idly wondered about giving your speedy Pi a better UI, [Luc]/[lucstechblog] wants to remind you that setting up KDE on your Raspberry OS install is dead simple and requires only about a dozen commandline steps.

[Luc] walks you through these dozen steps, from installation to switching the default DE, and the few hangups you might expect after the switch; if you want to free up some disk space afterwards, [Luc] shows how to get rid of the original LXDE packages. Got the latest Trixie-based Pi OS? There’s an update post detailing the few necessary changes, as well as talking about others’ experiences with the switch.

All in all, [Luc] demonstrates that KDE will have a fair bit of graphical and UX advantages, while operating only a little slower, and if you weren’t really using your powerful Pi to the fullest, it’s a worthwhile visual and usability upgrade. For the regular desktop users, KDE has recently released their own distro, and our own [Jenny] has taken a look at it.

hackaday.com/2025/12/09/puttin…

Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso di sicurezza urgente. Tale avviso è stato emesso in relazione a falle di sicurezza che interessano tali prodotti.

Un aggressore potrebbe ottenere l’accesso amministrativo non autorizzato al dispositivo creando un messaggio SAML specifico, se la vulnerabilità viene sfruttata. Tale vulnerabilità è causata dall’incapacità del dispositivo di verificare in modo corretto le firme dei messaggi SAML.
Pannello CVE Details di Red Hot Cyber
Fortinet raccomanda ai propri clienti di procedere con l’aggiornamento alle versioni più recenti che seguono. Per quelle organizzazioni che non sono in grado di applicare le patch immediatamente, è stata messa a disposizione una soluzione provvisoria. Disabilitanto la funzionalità di accesso a FortiCloud, gli amministratori sono in grado di ridurre il rischio.

La falla di sicurezza, identificata come Verifica impropria della firma crittografica (CWE-347), potrebbe consentire a un aggressore non autenticato di aggirare l’autenticazione di accesso Single Sign-On (SSO) di FortiCloud.

Quando un amministratore registra un dispositivo su FortiCare tramite l’interfaccia utente grafica (GUI), l’opzione “Consenti accesso amministrativo tramite FortiCloud SSO” è abilitata per impostazione predefinita. A meno che l’amministratore non disattivi esplicitamente questa opzione durante la registrazione, il dispositivo diventa immediatamente vulnerabile a questo bypass.

La scoperta del problema è stata fatta internamente da Theo Leleu e Yonghui Han del team di sicurezza dei prodotti Fortinet, e l’informazione è stata resa pubblica il 9 dicembre 2025. La funzionalità SSO di FortiCloud, costituisce un rischio considerevole soprattutto negli ambienti di rete distribuiti.

L'articolo Vulnerabilità critica in FortiOS e altri prodotti Fortinet: aggiornamenti urgenti proviene da Red Hot Cyber.

Cory Doctorow lo dice con la lucidità di chi ha studiato per anni le derive del capitalismo digitale: l’AI, così come viene venduta oggi, non mira a potenziare l’essere umano. Mira a usarlo.
Ed è una differenza enorme.

Doctorow parla di centauri e reverse-centauri.

Il centauro è l’immagine romantica della tecnologia che amplifica l’uomo: l’essere metà umano e metà macchina che, grazie all’ibridazione, diventa più competente, più veloce, più efficace.

Il reverse-centauro, invece, è l’incubo moderno:
la macchina al comando e l’umano relegato al ruolo di appendice correttiva, l’elemento organico necessario solo per:

• firmare,
• controllare,
• prendersi la colpa quando il sistema sbaglia.

E questo, purtroppo, è esattamente il modello verso cui sta correndo il mercato.

La bolla dell’AI: speculazione travestita da innovazione

Doctorow lo dice chiaro: il capitalismo delle piattaforme sopravvive solo se riesce a gonfiare nuove bolle narrative.

• Il Web.
• La Crypto.
• Il Metaverso.
• Ora l’AI.

Non c’è industria che non stia venendo travolta da questa retorica messianica, dove ogni limite umano è considerato “inefficienza” da eliminare.
Il paradosso?
L’AI non sostituisce il lavoro umano: lo sposta, lo peggiora, lo rende più responsabilizzante e meno controllabile.

Nel 2025, molte aziende non stanno implementando l’AI per aumentare la qualità dei processi, ma per tagliare costi lasciando agli umani l’onere di controllare, correggere e giustificare le allucinazioni della macchina.

• Un reverse-centauro non produce valore.
• Produce fragilità.
• Produce rischio.

E produce una dipendenza cieca da sistemi che non comprendiamo, non controlliamo e che spesso non sappiamo nemmeno verificare.

Il lato tecnico che non piace ai vendor

Oggi l’AI viene integrata dovunque con lo stesso entusiasmo con cui negli anni ’90 si infilava il “tasto Internet” anche sui tostapane.
Il problema è che questa integrazione non è neutrale, lo si vede subito:

• modelli opachi, non verificabili;
• pipeline di addestramento che sono una nuova supply chain non auditabile;
• dati sensibili usati come carburante;
• automazioni che amplificano l’errore umano invece di ridurlo;
• supervisione umana trasformata in un atto di responsabilità giuridica più che tecnica.

L’AI “messa così” non riduce il rischio: lo aumenta.
E spesso in maniera non lineare, non intuibile e impossibile da stimare con precisione.

La verità è che gran parte degli LLM e dei sistemi di automazione generativa sono strumenti probabilistici che molti stanno trattando come decision support system deterministici.
Confondere questi due piani è un invito aperto al disastro.

L’impatto socio-economico: quando la macchina decide e l’umano firma

La narrazione del “lavoro potenziato dall’AI” somiglia molto a quella della delocalizzazione industriale degli anni 2000:
nelle promesse era un vantaggio per tutti, nella pratica è stata una compressione salariale mascherata.

Oggi accade lo stesso:
la vera funzione economica dell’AI non è sostituire il lavoro umano, ma dequalificarlo.

Prima un radiologo analizzava 100 immagini, ora ne analizza 100 comunque… ma con in mezzo un algoritmo che sbaglia e che lui deve correggere.
E nel dubbio, la responsabilità legale resta sua.

Lo stesso vale per avvocati, tecnici IT, giornalisti, consulenti, medici, progettisti… e perfino SOC analyst che si trovano sommersi da alert generati da sistemi che non comprendono il contesto operativo.

L’umano non viene potenziato:
viene messo al guinzaglio da una macchina che decide, sbaglia, e lui deve ripulire.

È questo il reverse-centauro in tutta la sua crudezza.

La normativa europea lo ha capito benissimo: l’AI Act non vieta l’AI, vieta gli abusi

La cosa interessante è che l’Europa sta cercando di fermare questa deriva.
Non contro la tecnologia, ma contro i modelli di business tossici che la circondano.

L’AI Act introduce:

• obblighi di trasparenza,
• valutazioni d’impatto sul rischio,
• controlli sulla supply chain,
• responsabilità chiara su errori e danni,
• registri obbligatori per gli AI di alto rischio,
• tracciabilità e auditabilità tecnica.

E accanto all’AI Act arrivano altre norme che chiudono il cerchio:

• NIS2, che impone governance, processi e supervisione reale degli strumenti.
• Cyber Resilience Act, che schiaccia i produttori di tecnologia di fronte alle proprie responsabilità.
• Data Act, che regola accesso, portabilità e uso dei dati.

L’Europa manda un messaggio semplice:
la macchina non può sostituire l’umano nella responsabilità, né usarlo come scudo legale.

Ed è un messaggio che alle big tech non piace per niente.

Il problema non è l’AI. Sono le aspettative tossiche che le costruiamo intorno

In RHC lo diciamo spesso:
la tecnologia non è né buona né cattiva. È neutrale.
Diventa pericolosa quando la usiamo senza capire cosa realmente fa.

L’AI può essere uno strumento potentissimo.
Ma deve restare un mezzo, non un fine.
Un’estensione dell’intelligenza umana, non un commissario politico dell’efficienza.

Perché il giorno in cui smetteremo di essere centauri e inizieremo a essere reverse-centauri, sarà troppo tardi per invertire la rotta.

l’AI deve potenziare l’umano, non sostituirlo. E soprattutto non usarlo.

La vera sfida non è costruire modelli più grandi, più veloci o più “agenti”.
La sfida è costruire sistemi che rispettino il lavoro umano, la sua dignità, la sua intelligenza, i suoi limiti e le sue responsabilità.

Il futuro appartiene alle aziende che sapranno usare l’AI per far crescere le persone, non per stritolarle.
A quelle che sapranno distinguere tra innovazione e speculazione.
A quelle che capiranno che l’automazione non è un dogma, ma un rischio che va gestito con criterio.

Se non vogliamo diventare reverse-centauri, dobbiamo tornare al punto di partenza:
l’AI deve amplificarci.
Non sostituirci.
E tantomeno usarci come stampelle per coprire i suoi limiti.

Perché una macchina che ha bisogno dell’uomo solo per firmare gli errori…
non è progresso.
È un inganno ben confezionato.

L'articolo L’AI non ci potenzia: ci usa. Cory Doctorow smonta la grande bugia del 2025 proviene da Red Hot Cyber.

Il panorama della cybersecurity in Europa e in Italia è in rapida evoluzione: la crescente digitalizzazione, le normative come GDPR e NIS2 e l’esponenziale aumento degli attacchi informatici rendono indispensabile investire in competenze verticali sulla cybersecurity.

In questo articolo vogliamo analizzare e creare una roadmap utile ed effettiva per una carriera nel mondo cyber, dai livelli entry fino ai C-Level, con un focus e risorse specifiche sulla CompTIA Security+ e sui corsi offerti dalla RedHot Cyber Academy.

Certificazioni Entry-Level

Le certificazioni ideali per chi inizia e/o vorrebbe iniziare a lavorare nel mondo cyber:

• CompTIA Security+ (SY0-701): Tutte le certificazioni CompTIA sono vendor-neutral quindi non sono legate a un produttore specifico. Include competenze legate a minacce e vulnerabilità, gestione del rischio, crittografia, sicurezza delle reti, cloud security e principi di Zero Trust. È una delle certificazioni più riconosciute a livello globale per ruoli entry-level come Security Analyst, Network Administrator e IT Auditor anche perché ha un sia un approccio teorico sia pratico: Non si limita alla teoria, ma introduce scenari realistici e best practice, utili per chi deve affrontare problemi reali.
• ISC² Certified in Cybersecurity (CC): ISC² offre spesso programmi di formazione gratuiti per questa certificazione, rendendola ideale per chi vuole iniziare senza grandi investimenti. Copre concetti chiave come controlli di accesso, gestione del rischio, sicurezza delle reti e delle applicazioni.

Evidenziamo come il corso Cybersecurity per principianti della RedHot Cyber Academy sia ottimo per chi è alle prime armi e inizia in questo settore e/o ambisce alla certificazione di Security+ di CompTIA.

È importante anche ricordare che le certificazioni precedentemente descritte hanno una valenza internazionale e possono quindi essere sfruttate in tutto il mondo.

Certificazioni Mid Level

Per chi possiede maggiore esperienza e vuole specializzarsi ulteriormente:

• CompTIA PenTest+: ha un forte focus pratico sul penetration testing: Copre tutto il ciclo di un PenTest: pianificazione, scoping, attacco e reporting. È ideale per chi vuole diventare Penetration Tester, Vulnerability Analyst o Security Consultant.
• EC-Council CEH: è uno standard nel settore per chi vuole lavorare come Ethical Hacker. Offre una conoscenza su un’Ampia copertura di strumenti e tecniche: Include oltre 300 strumenti di hacking, metodologie di attacco e difesa. Inoltre,molti recruiter e aziende la considerano un requisito necessario per ruoli di penetration testing e red teaming.
• CompTIA CySA+: è pensata per chi vuole lavorare come Cybersecurity Analyst, Threat Analyst, SOC Analyst o Incident Responder. Copre tecniche di threat detection, behavioral analytics, gestione delle vulnerabilità e risposta agli incidenti. Concilia sia una parte teoria con un approccio pratico includendo scenari reali di analisi log, monitoraggio SIEM, gestione alert e investigazione di attacchi.
  L’abbiamo inserita per ultima in questa sezione perché riteniamo che per conseguirla con successo sia propedeutico ottenere prima certificazioni entry level come Security+ e mid come PenTest+ o avere un’esperienza sul campo di almeno 3/4 anni.

Certificazioni Advanced

Per ruoli specialistici:

• OSCP (Offensive Security Certified Professional): il focus di questa certificazione è il Penetration testing avanzato, è una certificazione che testa le capacità pratiche del candidato; infatti, per l’esame si ha 24 ore di tempo per assumere il controllo di tre macchine virtuali e per ognuna generare un report sull’attacco.

I contenuti principali sono: Exploit development, Privilege escalation, Attacchi su reti e sistemi reali come Active Directrory.

È riconosciuta come una delle certificazioni più prestigiose in ambito offensive security poiché dimostra capacità operative reali, non solo teoriche.

• GIAC (GCIH): il focus è la gestione degli incidenti di sicurezza, l’analisi forense, la risposta agli incidenti e la mitigazione delle minacce. Diversamente da OSCP è incentrata per ruoli blue team come Incident Response e SOC.
• Cloud Security (AWS, Azure): riteniamo che per un profilo advanced/senior sia necessario possedere compenteze tecniche più trasversali anche in ambito cloud, per questo inseriamo qui due importanti certifcazioni che sono vendor orientented legate ad AWS e Azure come la AWS Certified Security – Specialty che mira ad ottenere compente quali: Identity & Access Management (IAM), Protezione dei dati (KMS, crittografia), Monitoraggio e logging (CloudTrail, GuardDuty), Incident Response in cloud.

Mentre la Microsoft Certified: Cybersecurity Architect Associate e/o Expertcon l’obiettivo di progettare architetture di sicurezza su Azure implementando strategie di Zero Trust e di integrazione con Microsoft Defender e Sentinel.

Oltre alle competenze specifiche e verticali delle certificazioni finora descritte è utile se non fondamentale aver conoscenze trasversali legate al mondo della programmazione, dell’AI, del Machine Learning che si interfacciano sempre più con il mondo della cybersecurity; per questo si consigliano i seguenti corsi correlati: ‘Python & IA’, ‘Prompt Engineering e Cybersecurity’ per skill trasversali (a disposizione sulla piattaforma Accademy di RHC.

Certificazioni Manageriali e Governance

Quando si parla di ruoli di leadership nella sicurezza informatica, non si tratta solo di competenze tecniche: serve una visione strategica, capacità di governance e una profonda conoscenza dei rischi aziendali.

• CISSP Certified Information Systems Security Professional: rilasciata da (ISC)², è considerata la certificazione di riferimento poiché non si limita a coprire aspetti tecnici ma abbraccia l’intero spettro della sicurezza delle informazioni, dalla gestione del rischio alla protezione delle reti, fino alla compliance normativa. Il valore di CISSP risiede nella sua completezza: chi la ottiene dimostra di avere una visione olistica della sicurezza, indispensabile per ruoli come CISO, Security Manager o Security Architect.
• Certified Information Security Manager (CISM) di ISACA: “la sicurezza come strategia” è pensata per chi guida team e processi. Non si concentra solo sulla tecnologia, ma sulla capacità di allineare la sicurezza agli obiettivi di business. Ideale per chi vuole gestire la sicurezza a livello organizzativo.
• Certified Information Systems Auditor (CISA): è la certificazione di riferimento per chi si occupa di audit e controllo dei sistemi informativi. In un contesto di normative sempre più stringenti, è indispensabile per garantire processi sicuri e conformi, soprattutto in settori regolamentati.
• Certified in Risk and Information Systems Control (CRISC):“il linguaggio del rischio” forma professionisti capaci di identificare e gestire i rischi IT. È perfetta per chi lavora in governance e risk management, competenze cruciali per la resilienza aziendale.

È importante sottolineare che queste certificazioni richiedono almeno cinque anni di esperienza e un impegno significativo nello studio, ma il riconoscimento che offrono è di altissimo livello.

Risorse Aggiuntive e Conclusione

Come risorsa bonus vi proponiamo un repository GitHub che contiene domande con risposte e spiegazioni, tutta la parte teorica divisa per punti secondo lo standard CompTIA, materiali aggiuntivi su termini, tipologie di attacchi utili a superare con successo l’esame di Security+ SY0-701.

Per concludere Investire in certificazioni e formazione è la chiave per una carriera nel mondo della cybersecurity. Vi invitiamo a scoprire i corsi su Academy.redhotcyber.com e utilizzare il repository GitHub per completare la vostra preparazione.

Tabella Comparativa delle Principali Certificazioni

L'articolo Certificazioni Cybersecurity: Guida Completa per una Carriera nel Mondo Cyber proviene da Red Hot Cyber.

Dear All Members of Pirate Parties International and all interested parties,

The 2025-2026 PPI Winter GA will take place on Saturday, January 10th, 2026, starting at 09:00 UTC.
The event will be hybrid with some participants physically attending in Potsdam, Germany.

If representatives from your organization intend to participate in person, please let us know by
requesting a completely free ticket here: eventbrite.com/e/1975346809482

Discussion about the GA is currently on Discourse: ga.pp-international.net/
Further information is also available on our Wiki:
wiki.pp-international.net/wiki…

The meeting will take place on the PPI Board Jitsi Channel: jitsi.pirati.cz/PPI-Board

If we have connection problems we will revert to our Mumble:
wiki.pp-international.net/wiki…

If you have any statute amendments or new member applications, please make sure that you send
them to the board by December 10th. If you have any other motions or any other business, feel
free to bring them up before the meeting, and you are free to propose them at the meeting itself.

It is very important that we make a quorum, so please delegate your vote to another member if
you cannot come to the event. Please also forward this message to other PPI members.

Delegates should be announced to the board prior to the start of the GA. Each member may have
up to 6 delegates. Others are welcome to attend without voting. Rules of the GA can be reviewed
on the Wiki: wiki.pp-international.net/wiki…

We also remind full members to pay membership fees. We don’t want anyone not to participate if
they don’t have funds to pay membership fees, so please let us know if you require a discount or
accommodation. Please note that nascent members have no membership fees.

We hope that many of you can attend, either in person or online.

Good luck to us on having a successful event!

Thank you for your assistance,

The Board of PPI

pp-international.net/2025/12/f…

Of all people, it is center-right parties in Brussels that are supporting plans for the mass screening of private messages. The proposal cuts deep into civil liberties. The consequences for chats between teenagers and their own parents are particularly drastic.

The battle over “chat control” and the confidentiality of our communications has long since become the defining question regarding the relationship between the state and the citizen in the digital age. On December 4th, EU Commissioner for Home Affairs Magnus Brunner (EPP) defended plans before the European Parliament that cut deeply into civil liberties. What is particularly bitter for conservative voters is that it is precisely the center-right-led governments in Berlin and Vienna that have helped secure a majority for this assault on privacy in Brussels. While the leader of the German CDU/CSU parliamentary group, Jens Spahn, assured the public in October that suspicionless scanning of chats was akin to “preemptively opening every letter to see if it contains something illegal”—and that neither he nor his party would support it—reality now looks quite different.

The EU governments have agreed on a rotten compromise. While “voluntary” chat control is technically supposed to be at the discretion of the providers, the result is the same: American tech giants like Meta or Google will be allowed to screen our private messages en masse and without any initial suspicion. The state is effectively outsourcing its monopoly on law enforcement and deputizing US corporations as sheriffs. Instead of independent judges, error-prone secret algorithms from Silicon Valley will decide whether our chats are suspicious.

Mr. Spahn still owes us an answer to a crucial question: How is this mass screening any different from suspicionless chat control? Would the indiscriminate opening of our letters be acceptable just because Deutsche Post decided to do it voluntarily? The privacy of correspondence is “inviolable” under our Basic Law (Grundgesetz). Privatized chat control remains a violation of fundamental principles in a constitutional state.

ID Cards for the Internet

Yet, hidden within the draft law on chat control is a perhaps even more perfidious attack on freedom—a clause with the potential to destroy the internet as we know it: The opening of an email or messenger account is to require mandatory age verification. What sounds like a technicality is actually political dynamite. It spells the end of the right to anonymous digital communication. Anyone wishing to use WhatsApp, Signal, or even a simple email inbox in the future will have to show their ID card or their face.

A whistleblower wishing to remain anonymous for fear of investigation will hardly dare to tip off a journalist about government corruption if they have to upload their ID to a database to do so. They are effectively being silenced. Investigative journalism, anonymous pastoral care, and confidential counseling in crisis situations will become impossible. Furthermore, it is only a matter of time before these internet ID databases are hacked, opening the floodgates for criminals to commit identity theft. Our security is not being protected here; it is being endangered. Moreover, a new bureaucratic monster is being created. While the economy groans under the weight of regulations, European tech start-ups and companies are being forced to implement complex new verification systems.

The State as Super-Nanny

The height of hubris, however, is the planned treatment of adolescents. According to the will of the EU governments, app stores should blanketly refuse the installation of apps to anyone under 17 if those apps could theoretically be misused for “cyber grooming.” The aim is to protect minors from being approached with sexual intent. However, since the State Media Authority of North Rhine-Westphalia notes that this occurs on almost all platforms—from WhatsApp and Instagram to online games—this regulation amounts to a digital ban on communication.

You have to let that sink in: A 16-year-old would no longer be allowed to chat with their class teacher, their coach, or—even more absurdly—with their own parents. The state presumes to know what is good for our children better than families do. The parental right to raise children, protected by the constitution, is being trampled underfoot. How well parents know their own children’s maturity no longer counts.

This is not child protection; it is digital house arrest. Instead of hunting the perpetrators, the victims are being locked up. This is the logic of an overreaching nanny state that mistrusts its citizens. True security comes from strong families, not from state paternalism that drives teenagers into digital isolation. It won’t work anyway: our children will simply ask us to register their phones as adult devices.

Ineffective Symbolic Politics

Overall, these measures miss their mark completely. The Association of German Criminal Investigators is already warning of an overload due to the flood of automated chat reports. Almost half of the reported chats are perfectly legal—such as holiday photos from the beach. There will be no time left for genuine cases because investigators will be busy screening harmless citizens.

The European Parliament has recognized this madness. Across party lines, it is demanding that chat surveillance be limited to actual suspects and is rejecting mandatory age checks and app bans. It is banking on civil principles: proportionality and targeted prosecution instead of mass surveillance and the paternalism of millions of innocent people.

However, without support from Berlin, this sensible position will not prevail in the upcoming negotiations on the final wording of the law. The center-right-led federal government must decide: Does it want the “transparent citizen” and the disempowerment of parents? Or will it return to the values of the Constitution? When the state begins to have our mail opened and forbids our children contact with the outside world, a red line has been crossed. We do not need a nanny from Brussels—and certainly not one from Berlin.

This guest commentary first appeared in Die Welt.

patrick-breyer.de/en/digital-h…