Cloudflare afferma di aver prevenuto un numero record di attacchi DDoS da record nel 2024. Il numero di incidenti è aumentato del 358% rispetto all’anno precedente e del 198% rispetto al trimestre precedente.

Nel suo report del primo trimestre del 2025, l’azienda ha dichiarato di aver neutralizzato un totale di 21,3 milioni di attacchi DDoS nel 2024. Allo stesso tempo, gli esperti avvertono che il 2025 si preannuncia ancora più difficile: solo nel primo trimestre, Cloudflare ha già risposto a 20,5 milioni di attacchi DDoS.

Tra gli obiettivi di questi attacchi c’era anche la stessa Cloudflare, la cui infrastruttura è stata sottoposta a 6,6 milioni di attacchi durante una campagna multi-vettore durata 18 giorni.

“Dei 20,5 milioni di attacchi DDoS, 16,8 milioni erano attacchi a livello di rete e di questi, 6,6 milioni erano diretti direttamente all’infrastruttura di rete di Cloudflare“, afferma il rapporto. Questi attacchi facevano parte di una campagna DDoS multi-vettore durata 18 giorni che includeva SYN flood, attacchi DDoS generati da Mirai, attacchi di amplificazione SSDP e altro ancora.

Il principale fattore che ha determinato l’aumento degli incidenti DDoS sono stati gli attacchi a livello di rete, che hanno registrato un forte incremento negli ultimi mesi, con un incremento del 509% rispetto all’anno precedente.

Continua senza sosta anche il trend degli attacchi ipervolume: l’azienda ha registrato oltre 700 attacchi con una capacità superiore a 1 Tbps (terabit al secondo) e 1 miliardo di pacchetti al secondo. Pertanto, nel primo trimestre del 2025, il numero di tali attacchi ipervolume era in media di otto al giorno e, rispetto al trimestre precedente, il loro numero è raddoppiato.

Uno degli attacchi più potenti segnalati nel rapporto di Cloudflare si è verificato nel primo trimestre del 2025 e ha preso di mira un provider di hosting statunitense non identificato che ospita i server di gioco per Counter-Strike GO, Team Fortress 2 e Half-Life 2: Deathmatch.

L’attacco ha preso di mira la porta 27015, comunemente utilizzata nei giochi e che si consiglia di lasciare aperta sia per UDP che per TCP. Ciò significa che l’attacco era chiaramente mirato a interrompere il funzionamento dei servizi di gioco. L’attacco è stato un attacco ipervolume, che ha raggiunto 1,5 miliardi di pacchetti al secondo, sebbene Cloudflare affermi di averlo mitigato.

Vale anche la pena notare che il CEO dell’azienda, Matthew Prince, ha recentemente riferito su X che Cloudflare è riuscita a prevenire l’attacco più grande fino ad oggi, un attacco da 5,8 Tbps durato circa 45 secondi. Prince scrive che lo stesso giorno è stato effettuato un altro attacco DDoS, ancora più grande, e promette di condividere presto i dettagli.

Ricordiamo che il record precedente era stato stabilito all’inizio del 2025, quando Cloudflare aveva segnalato un attacco DDoS con una potenza fino a 5,6 Tbps. L’attacco è stato effettuato utilizzando la botnet Mirai, che comprendeva 13.000 dispositivi hackerati.

L'articolo +358% di attacchi DDoS: l’inferno digitale si è scatenato nel 2024 proviene da il blog della sicurezza informatica.

While most of us won’t ever play Wimbledon, we can play Pong. But it isn’t the same without the thrill of the sportscaster’s commentary during the game. Thanks to [Parth Parikh] and an LLM, you can now watch Pong matches with commentary during the game. You can see the very cool result in the video below — the game itself starts around the 2:50 mark. Sadly, you don’t get to play. It seems like it wouldn’t be that hard to wire yourself in with a little programming.

The game features multiple AI players and two announcers. There are 15 years of tournaments, including four majors, for a total of 60 events. In the 16th year, the two top players face off in the World Championship Final.

There are several interesting techniques here. For one, each action is logged as an event that generates metrics and is prioritized. If an important game event occurs, commentary pauses to announce that event and then picks back up where it left off.

We really want to see a one- or two-player human version of this. Please tell us if you take on that challenge. Even if you don’t write it, maybe the AI can write it for you.

youtube.com/embed/i21wN6CDsE0?…

hackaday.com/2025/05/06/ai-bri…

Dai dati relativi al 2024 a seguito della Giornata nazionale contro la pedofilia e la pedopornografia, pubblicati dalla Polizia di Stato, emerge un aumento degli arresti e delle denunce per reati legati alla pedopornografia online, con oltre 2.800 casi trattati, 1.000 perquisizioni e 147 arresti. Nel primo trimestre 2025 si registra un ulteriore incremento significativo. La Polizia Postale e per la Sicurezza Cibernetica svolge un'intensa attività di prevenzione e contrasto, anche attraverso campagne di sensibilizzazione rivolte a studenti, genitori e insegnanti. Inoltre, viene evidenziato l'impegno nella cooperazione internazionale e il partenariato con enti e organizzazioni non governative per tutelare i minori dai rischi del web.

I dati relativi al contrasto alla pedopornografia nel 2024 mostrano:

• Oltre 2.800 casi trattati dalla Polizia Postale
• Circa 1.000 perquisizioni effettuate
• 147 individui arrestati
• 1.037 persone denunciate.

Alcune delle iniziative di prevenzione della Polizia Postale includono:
Campagne di prevenzione e formazione che nei primi mesi del 2025 hanno coinvolto oltre 164.000 studenti, 2.900 genitori e più di 10.000 insegnanti.
L'allestimento della mostra itinerante fotografica "SuperEroi" che racconta il lavoro degli operatori impegnati nel contrasto alla pedopornografia online, già visitata da oltre 16.000 persone, di cui 4.200 studenti.

Nel 2024, sono state svolte circa 1.000 perquisizioni, che hanno portato all'arresto di 147 individui e alla denuncia di 1.037 persone. Nel primo trimestre del 2025, si è registrato un significativo incremento con l'arresto di 118 persone (+293%) e la denuncia di 427 soggetti (+53%), oltre a oltre 370 perquisizioni delegate (+28%). L'attività preventiva ha portato all'oscuramento di oltre 2.800 siti web pedopornografici tramite l'inserimento nella Black List gestita dal Centro Nazionale per il Contrasto alla Pedopornografia Online (CNCPO).

#Giornatanazionalecontrolapedofiliaelapedopornografia #CNCPO #poliziadistato #poliziapostale
@Notizie dall'Italia e dal mondo

If you take two objects with fairly smooth surfaces, and put these together, you would not expect them to stick together. At least not without a liberal amount of adhesive, water or some other substance to facilitate a temporary or more permanent bond. This assumption gets tossed out of the window when it comes to optical contact bonding, which is a process whereby two surfaces are joined together without glue.

The fascinating aspect of this process is that it uses the intermolecular forces in each surface, which normally don’t play a major role, due to the relatively rough surfaces. Before intermolecular forces like Van der Waals forces and hydrogen bonds become relevant, the two surfaces should not have imperfections or contaminants on the order of more than a few nanometers. Assuming that this is the case, both surfaces will bond together in a way that is permanent enough that breaking it is likely to cause damage.

Although more labor-intensive than using adhesives, the advantages are massive when considering that it creates an effectively uninterrupted optical interface. This makes it a perfect choice for especially high-precision optics, but with absolutely zero room for error.

Intermolecular Forces

Thirty-six gauges wrung together and held horizontally. (Credit: Goodrich & Stanley, 1907)
As creatures of the macro world, we are largely only aware of the macro effects of the various forces at play around us. We mostly understand gravity, and how the friction of our hand against a glass prevents it from sliding out of our hand before shattering into many pieces on the floor. Yet add some water on the skin of our hands, and suddenly there’s not enough friction, leading to unfortunate glass slippage, or a lid on a jar of pickles that stubbornly refuses to open because we cannot generate enough friction until we manage to dry our hands sufficiently.

Many of these macro-level interactions are the result of molecular-level interactions, which range from the glass staying in one piece instead of drifting off as a cloud of atoms, to the system property that we refer to as ‘friction‘, which itself is also subdivided into static stiction and dynamic friction. The system of friction can be considered to be analogous to contact binding when we consider two plates with one placed on top of the other. If we proceed to change the angle of these stacked plates, at some point the top plate will slide off the bottom plate. This is the point where the binding forces can no longer compensate for the gravitational pull, with material type and surface finish affecting the final angle.

An interesting example of how much surface smoothness matters can be found in gauge blocks. These are precision ground and lapped blocks of metal or ceramic which match a specific thickness. Used for mainly calibration purposes, they posses the fascinating property due to their smooth surfaces that you can make multiple of them adhere together in a near-permanent manner in what is called wringing. This way you can combine multiple lengths to create a single gauge block with sub-millimeter accuracy.

Enabling all this are intermolecular forces, in particular the Van der Waals forces, including dipole-dipole electrostatic interactions. These do not rely on chemical or similar properties as they depend only on aspects like the mutual repulsion between the electron clouds of the atoms that make up the materials involved. Although these forces are very weak and drop off rapidly with distance, they are generally independent of aspects like temperature.

Hydrogen bonds can also occur if present, with each type of force having its own set of characteristics in terms of strength and effective distance.

Make It Smooth

Surface roughnesses of a SiO2 wafer (left, ≈1.01 nm RMS) and an ULE wafer (right, ≈1.03 nm RMS) (Credit: Kalkowski et al., 2011)
One does not simply polish a surface to a nanometer-perfect sheen, though as computer cooling enthusiasts and kin are aware, you can get pretty far with a smooth surface and various grits of sandpaper all the way up to ridiculously high levels. Giving enough effort and time, you can match the surface finish of something like gauge blocks and shave off another degree or two on that CPU at load.

Achieving even smoother surfaces is essentially taking this to the extreme, though it can be done without 40,000 grit sandpaper as well. The easiest way is probably found in glass and optics production, the latter of which has benefited immensely from the semiconductor industry. A good demonstration of this can be found in a 2011 paper (full PDF) by Fraunhofer researchers G. Kalkowski et al. as published in Optical Manufacturing and Testing.

They describe the use of optical contact bonding in the context of glass-glass for optical and precision engineering, specifically low-expansion fused silica (SiO₂) and ultra-low expansion materials. There is significant overlap between semiconductor wafers and the wafers used here, with the same nanometer level precision, <1 nm RMS surface roughness, a given. Before joining, the surfaces are extensively cleaned of any contaminants in a vacuum environment.

Worse Than Superglue

Once the surfaces are prepared, there comes the tricky part of making both sides join together. Unlike with the gauge blocks, these super smooth surfaces will not come apart again without a fight, and there’s no opportunity to shimmy them around to get that perfect fit like when using adhesive. With the demonstrated method by Kalkowski et al., the wafers were joined followed by heating to 250 ℃ to create permanent Si-O-Si bonds between the two surfaces. In addition bonding pressure was applied for two hours at 2 MPa using either N₂ or O₂ gas.

This also shows another aspect of optical contact binding: although it’s not technically permanent, the bond is still just using intermolecular forces, and, as shown in this study, can be pried apart with a razorblade and some effort. By heating and applying pressure, the two surfaces can be annealed, forming molecular bonds and effectively turning the two parts into one.

Of course, there are many more considerations, such as the low-expansion materials used in the referenced study. If both sides use too dissimilar materials, the bond will be significantly more tenuous than if the materials with the same expansion properties are used. It’s also possible to use chemically activated direct bonding with a chemical activation process, all of which relies on the used materials.

In summary, optical contact bonding is a very useful technique, though you may want to have a well-equipped home lab if you want to give it a spin yourself.

hackaday.com/2025/05/06/optica…

Il gigante delle telecomunicazioni sudcoreano SK Telecom ha sospeso le sottoscrizioni di nuovi abbonati in tutto il paese, concentrandosi sulla sostituzione delle schede SIM di 25 milioni di clienti esistenti. L’azienda ha preso questa decisione a seguito di un grave attacco informatico avvenuto ad aprile, che ha provocato un’infezione da malware su larga scala e la fuga di dati degli utenti.

Dal 5 maggio è sospesa la registrazione di nuovi contratti nei 2.600 punti vendita T World sia tramite i canali online. La priorità è data esclusivamente alla collaborazione con gli abbonati interessati. A tutti i clienti viene offerta la sostituzione gratuita delle schede SIM, per eliminare il rischio di clonazione, una delle conseguenze più pericolose di questo tipo di attacco. La sostituzione è iniziata il 28 aprile e verrà effettuata sia nei normali negozi che nei centri di assistenza degli aeroporti.

L’azienda ha anche lanciato uno speciale sistema online attraverso il quale è possibile fissare un appuntamento per la sostituzione della propria scheda SIM. SK Telecom ha promesso di rimborsare i costi a coloro che decideranno di effettuare autonomamente la sostituzione. Tuttavia, la sostituzione di massa si scontra con difficoltà logistiche: a fronte di una domanda elevata, in alcune regioni si registra una carenza delle carte necessarie.

Un rapporto interno di SK Telecom ha confermato che la fuga di dati è stata causata da un malware che ha infettato i sistemi dell’azienda. Dopo la scoperta dell’attacco ad aprile, le azioni di SK Telecom sono scese dell’8,5%, raggiungendo il livello più basso da agosto dell’anno scorso.

SK Telecom è il più grande operatore di telefonia mobile della Corea del Sud e copre circa il 50% del mercato nazionale. Oltre al suo core business, l’azienda possiede una piattaforma musicale, investe nello sport e ha recentemente inaugurato il più grande stabilimento di produzione di chip per l’intelligenza artificiale del Paese. Attraverso la sua divisione americana SKT Americas, la holding investe attivamente nelle startup tecnologiche della Silicon Valley.

SK Telecom fa parte del secondo conglomerato più grande della Corea del Sud, SK Group. In totale, il gruppo riunisce più di 175 aziende in tutto il mondo, operanti in settori quali ICT, biofarmaceutica, mobilità, semiconduttori, batterie per veicoli elettrici e scienze della vita.

L'articolo 25 Milioni di SIM da Sostituire dopo l’Attacco Cyber! Il Disastro di SK Telecom Sconvolge la Corea del Sud proviene da il blog della sicurezza informatica.

With the ability to independently adjust the thrust of each of their four motors, quadcopters are exceptionally agile compared to more traditional aircraft. But in an effort to create an even more maneuverable drone platform, a group of South Korean researchers have studied adding flying squirrel tech to quadcopters. Combined with machine learning, this is said to significantly increase the prototype’s agility in an obstacle course.

Flying squirrels (tribe Pteromyini)) have large skin flaps (patagium) between their wrists and ankles which they use to control their flight when they glide from tree to tree, along with their fluffy squirrel tail. With flights covering up to 90 meters, they also manage to use said tail and patagium to air brake, which prevents them from smacking with bone jarring velocities into a tree trunk.

By taking these principles and adding a similar mechanism to a quadcopter for extending a patagium-like membrane between its rotors, the researchers could develop a new controller (thrust-wing coordination control, TWCC), which manages the extending of the membranes in coordination with thrust from the brushless motors. Rather than relying on trial-and-error to develop the controller algorithms, the researchers trained a recurrent neural network (RNN) which was pre-trained prior to first flights using simulation data followed by supervised learning to refine the model.

During experiments with obstacle avoidance on a test-track, the RNN-based controller worked quite well compared to a regular quadcopter. A disadvantage is of course that the range of these flying squirrel drones is less due to the extra weight and drag, but if one were to make flying drones that will perch on surfaces between dizzying feats of agility in the air, this type of drone tech might just be the ticket.

youtube.com/embed/tckIF3KCJig?…

hackaday.com/2025/05/06/improv…

MILPITAS, California – 5 maggio 2025 – SonicWall ha presentato oggi una suite completa di prodotti e servizi appositamente progettati per soddisfare le esigenze in continua evoluzione dei fornitori di servizi gestiti (MSP, Managed Service Provider) e dei loro clienti con una protezione informatica end-to-end e nuovi servizi redditizi. Al centro di questa presentazione ci sono i nuovi Next-Generation Firewall (NGFW) di fascia media e alta, progettati per le aziende di medie dimensioni e dotati di protezione integrata contro le minacce avanzate.

La nuova offerta include la soluzione Managed Protection Security Services (MPSS) per la gestione dei firewall con monitoraggio 24/7, che consente a MSP di ogni dimensione di offrire servizi firewall gestiti dal team di SonicSentry, il centro operativo di rete (NOC, Network Operations Center) di SonicWall. Questo servizio, basato sulla piattaforma unificata SonicPlatform nativa nel cloud, introduce un nuovo standard nel settore riducendo drasticamente l’esposizione alle cyber minacce, semplificando le operazioni e massimizzando la visibilità, il tutto supportato da team di esperti di sicurezza sempre operativi e potenziato da un’innovativa garanzia informatica.

“Il nuovo standard di sicurezza informatica di SonicWall segna un momento cruciale nella nostra evoluzione da innovatori a leader nel campo della cybersecurity basata su piattaforma”, ha dichiarato Bob VanKirk, Presidente e CEO di SonicWall. “Continuando ad ascoltare i nostri partner e adattandoci alle loro esigenze in evoluzione, abbiamo consolidato diversi strumenti frammentati in un’unica piattaforma sicura, scalabile e intelligente. Con questo lancio abbiamo combinato le prestazioni di rilevamento delle minacce leader di settore dei nostri firewall, l’accesso ZTNA basato sul cloud al posto delle VPN esistenti, servizi NOC e SOC co-gestiti e la prima garanzia di sicurezza informatica del settore per fornire agli MSP tutti gli strumenti di cui hanno bisogno per garantire sicurezza, scalabilità e costi contenuti ai loro clienti aziendali.”

Soluzioni per una cybersicurezza semplice e scalabile

SonicWall ha integrato in un’unica interfaccia intuitiva tutti gli strumenti che servono agli MSP per offrire una sicurezza multilivello basata su AI, dai firewall di nuova generazione alla protezione degli endpoint fino all’accesso remoto sicuro e al controllo avanzato delle policy.

Progettata per eliminare gli strumenti frammentati e ridurre la complessità operativa, la piattaforma SonicWall consente agli MSP di offrire soluzioni sicure, scalabili e intelligenti con la massima semplicità:

Sicura:

• Firewall Gen 8 (NSa 2800/3800): firewall di nuova generazione ad alte prestazioni di fascia media, con protezione contro le minacce avanzate per ambienti PMI impegnativi.
• Zero Trust Network Access (ZTNA): implementazione e utilizzo ancora più semplici grazie al connettore ZTNA con un semplice clic per un accesso sicuro e basato su policy, con prestazioni di rete e sicurezza notevolmente migliorate rispetto alle VPN tradizionali.
• Managed Protection Security Services (MPSS): il nuovo bundle MPSS, supportato dal team NOC di SonicSentry, mette a disposizione dei partner un team di professionisti della sicurezza di rete per garantire che i firewall siano configurati, implementati e aggiornati correttamente, in modo da fornire la migliore protezione possibile contro le minacce. MPSS è un servizio indispensabile di SonicWall che diventerà rapidamente lo standard di settore per la gestione dei firewall.

Scalabile:

• NSM 3.0: la piattaforma SaaS e on-premise che offre visibilità ed efficienza senza precedenti grazie alla gestione armonizzata in cloud/integrata.

Intelligente:

• SonicPlatform: una piattaforma cloud-native unificata per centralizzare la gestione di tutte le appliance e i servizi SonicWall e delle integrazioni di terze parti.
• SonicWall AI for Monitoring & Insight (SAMI): strumento di AI/automazione integrato che semplifica la gestione, velocizza la risoluzione di eventuali problemi e riduce l’affaticamento da avvisi.

“Negli ultimi due anni ci siamo impegnati ad ascoltare i nostri partner e ad affrontare le loro problematiche, in un contesto in cui i cyber attacchi si intensificano, i tempi di risposta rallentano e le soluzioni di sicurezza informatica diventano sempre più complesse”, ha dichiarato Peter Burke, Chief Product Officer di SonicWall. “Di conseguenza, abbiamo apportato notevoli miglioramenti alle caratteristiche e alla scalabilità della nostra piattaforma di gestione dei firewall, integrandoli in una piattaforma unificata per la gestione di account, sicurezza e rete, concepita per semplificare l’utilizzo e rendere i partner più efficienti. Grazie alla possibilità di consolidare la gestione end-to-end e offrire funzionalità chiave per la scalabilità e la sicurezza, i partner possono concentrarsi sulla crescita, espandere i loro servizi, aumentare la redditività e offrire un valore aggiunti ai loro clienti.”

Supporto 24/7 e la prima garanzia informatica del settore per una maggiore tranquillità

Il nuovo lancio include un servizio di supporto ottimizzato tramite SonicSentry, il team globale di Managed Extended Detection and Response (MXDR) di SonicWall e MPSS. Creati appositamente per gli MSP, questi servizi co-gestiti consentono loro di ottimizzare le risorse in modo redditizio e di ampliare l’offerta con servizi come il monitoraggio 24×7, controlli dell’integrità, gestione delle patch e distribuzione ottimizzata dei firewall.

La sicurezza non riguarda più solo la protezione, ma anche la fiducia e la resilienza. Grazie alla partnership di SonicWall con Cysurance, per le implementazioni SonicWall è possibile richiedere una garanzia informatica fino a 1 milione di dollari a seconda del livello, la prima offerta di questo tipo nel settore. Le implementazioni gestite tramite MPSS raddoppiano la copertura per i clienti che vi aderiscono.

“MPSS di SonicWall consentirà agli MSP di fornire ai clienti una protezione di livello superiore senza l’impegno di una gestione costante dei firewall”, ha dichiarato Greg Starr, Channel Manager di Meriplex. “Delegando le complessità di gestione dei firewall, i partner SonicWall saranno in grado di offrire servizi di sicurezza premium con la supervisione 24/7 dei nostri esperti e la protezione aggiuntiva di una garanzia informatica. Questo non solo rafforza la fiducia dei clienti, ma apre anche nuove opportunità di reddito per noi in veste di partner, permettendoci di crescere e potenziare la nostra attività in modo più efficiente.”

Scalabilità e risultati per MSP e PMI

Le soluzioni SonicWall di nuova generazione sono progettate su misura per le esigenze specifiche degli MSP:

• Architettura multi-tenant: gestione efficiente di più client da un’unica piattaforma.
• Licenze di abbonamento flessibili: opzioni mensili/annuali adatte al modello degli MSSP.
• Integrazione nell’ecosistema: semplice integrazione di terze parti per una maggiore efficienza operativa.
• Copertura end-to-end: dall’endpoint all’edge, SonicWall offre protezione e conformità centralizzate.

Con l’annuncio di questa soluzione completa SonicWall prosegue la sua storia di innovazione, fornendo ai partner di canale i prodotti e i servizi di cui hanno bisogno per crescere in modo sicuro, redditizio e con fiducia.

Per maggiori informazioni visita: www.sonicwall.com.

SonicWall

SonicWall è un precursore della sicurezza informatica che vanta oltre 30 anni di esperienza ed è riconosciuto come un’azienda leader incentrata sui propri partner. Grazie alla capacità di creare, scalare e gestire la sicurezza informatica in ambienti cloud, ibridi e tradizionali in tempo reale, SonicWall garantisce una protezione completa contro i cyber attacchi più elusivi diretti a innumerevoli punti di esposizione di utenti sempre più remoti, mobili e che fanno affidamento al cloud. Con il proprio centro di ricerca sulle minacce informatiche, SonicWall può fornire in modo rapido ed economico soluzioni di sicurezza informatica mirate e adattabili a qualsiasi tipo di organizzazione (grandi aziende, enti pubblici e PMI) in tutto il mondo. Per maggiori informazioni, visita www.sonicwall.com o seguici su Twitter, LinkedIn, Facebook e Instagram.

L'articolo SonicWall ridefinisce la sicurezza informatica e stabilisce un nuovo standard con soluzioni di sicurezza di rete di nuova generazione create per gli MSP proviene da il blog della sicurezza informatica.

Mr. Deepfakes, la più grande piattaforma online per la distribuzione di pornografia deepfake, ha ufficialmente cessato di esistere. Il messaggio di chiusura viene ora visualizzato nella pagina principale della risorsa. Afferma che un fornitore di servizi ha smesso definitivamente di supportarlo e che la perdita di dati ha reso impossibili ulteriori operazioni. Nella dichiarazione si sottolinea che il sito non ha intenzione di essere rilanciato, che qualsiasi tentativo di utilizzare il suo nome è falso e che il dominio stesso verrà presto rimosso.

Non viene rivelato il nome del provider che ha interrotto la fornitura dei servizi al sito, né i motivi per cui ciò è accaduto. Non ci sono dettagli sulla natura della perdita di dati. L’anonimato del proprietario delle risorse non è stato ancora ufficialmente violato, sebbene nel gennaio 2024 la rivista tedesca Der Spiegel abbia affermato di essere riuscita a identificare l’amministratore come un uomo di 36 anni di Toronto che lavora presso l’ospedale da diversi anni.

Gli esperti che lottano contro la diffusione di immagini intime senza consenso ritengono che la mossa sia una vittoria importante, ma attesa con largo anticipo. Per Hani Farid, professore presso l’Università della California a Berkeley e figura chiave nello studio della manipolazione digitale, questa è solo l’inizio della lotta. Ha osservato che la tecnologia e le piattaforme finanziarie che supportano i Deepfake sono anche responsabili del funzionamento di tali risorse. Chiudere un sito non fermerà l’intero settore: troppi restano nell’ombra. Questo è cosa si nasconde dietro il lato oscuro della tecnologia

L’emergere del fenomeno dei deepfake è iniziato nel 2017 con l’attività di un utente chiamato “deepfakes” su Reddit, che ha pubblicato video in cui i volti di celebrità venivano sostituiti da scene pornografiche. Mr. Deepfake ha rapidamente riempito la nicchia vacante. Il sito non solo accettava i caricamenti degli utenti come un normale sito di hosting porno, ma consentiva anche di ordinare video deepfake da artisti anonimi, il più delle volte in cambio di criptovalute.

Oltre ai contenuti video, la parte più importante del progetto erano i forum. Fu lì che si formò una comunità che perfezionò i metodi per creare deepfake. Gli utenti si sono scambiati strumenti, link a software, algoritmi e set di dati per generare video di scambio di volti. Il risultato di questi sforzi è uno degli strumenti open source più potenti: DeepFaceLab. Uno studio scientifico del 2022 sulla tecnologia deepfake menzionava che lo sviluppo aveva avuto luogo sui forum di Mr. Deepfake (nella pubblicazione il sito era elencato come “Mr. Dpfks”). A seguito di un’indagine giornalistica, il riferimento è stato rimosso.

Nonostante la scomparsa della risorsa, la comunità non si è disintegrata. I suoi partecipanti sono già passati a Telegram, dove continua lo sviluppo, lo scambio di nuovi metodi e la distribuzione di contenuti deepfake. Le app e gli strumenti più popolari promossi tramite Mr. Deepfake continuano a vivere la loro vita. Sono disponibili su diverse piattaforme, compresi gli app store per dispositivi mobili, e perfino grandi aziende come Apple e Google hanno difficoltà a rimuoverli completamente. I social network rimangono piattaforme in cui tali servizi vengono pubblicizzati, aggirando la moderazione.

L'articolo Chiude Mr. Deepfakes: il più grande sito di pornografia deepfake sparisce nel nulla proviene da il blog della sicurezza informatica.

Molte persone credono che accedere esclusivamente a siti HTTPS sia sufficiente per garantire la sicurezza durante la navigazione su reti Wi-Fi non protette. Spoiler: anche questa convinzione è un falso senso di sicurezza.

HTTPS: un passo avanti, ma non infallibile

HTTPS (HyperText Transfer Protocol Secure) utilizza protocolli di crittografia come TLS per proteggere la comunicazione tra il browser e il sito web, garantendo riservatezza e integrità dei dati.

Sebbene HTTPS offra quindi una protezione significativa rispetto a HTTP.

In questo articolo della nostra Rubrica WiFi, mostreremo come questa protezione da sola non è sufficiente soprattutto in ambienti non sicuri come le reti Wi-Fi aperte.

Vulnerabilità persistenti su reti Wi-Fi aperte

Nonostante la crittografia garantita dal protocollo HTTPS, la rete aperta e l’accesso facile alle informazioni da parte degli attaccanti ci espone ad:

• Attacchi Man-in-the-Middle (MitM): Un attaccante può intercettare il traffico tra l’utente e il sito web, potenzialmente reindirizzando l’utente a un sito falso che imita quello legittimo.
• Spoofing DNS e ARP poisoning: Tecniche che permettono a un attaccante di manipolare le risposte DNS o la cache ARP, reindirizzando l’utente verso siti malevoli anche se digitati correttamente.
• Intercettazione dei metadati: Anche se il contenuto delle comunicazioni è crittografato, informazioni come i nomi di dominio visitati (DNS queries) possono essere visibili e utilizzate per profilare l’utente.

Come scritto in diversi articoli gli hacker possono sfruttare diverse tecniche per aggirare o compromettere la protezione HTTPS, tra cui:

1. Reindirizzamenti Malevoli
   Con tecniche come lo spoofing DNS, l’attaccante modifica le risposte DNS per reindirizzare l’utente verso un sito web falso, che può avere un certificato HTTPS valido o simulato, facendo credere all’utente di essere al sicuro.
2. Siti HTTPS Falsi (Certificati Contraffatti)
   Un attaccante può creare un sito falso con un certificato SSL/TLS valido utilizzando servizi di certificazione automatizzati o persino ottenendo certificati legittimi per domini che assomigliano a quelli reali (es. typo-squatting). L’utente, vedendo il lucchetto verde o l’indicazione HTTPS, può essere indotto a fidarsi del sito contraffatto.
3. Downgrade dell’HTTPS
   Tramite un attacco chiamato SSL stripping, un hacker può forzare una connessione a un sito HTTPS a utilizzare HTTP, compromettendo la crittografia. Questo attacco sfrutta la possibilità che il sito supporti entrambe le versioni del protocollo.
4. Attacchi ai Certificati di Root
   Se un attaccante riesce a compromettere i certificati di root installati sul dispositivo della vittima (ad esempio tramite malware), può creare certificati personalizzati per qualsiasi sito web, rendendo il traffico completamente vulnerabile anche con HTTPS.

La buona notizia

Partiamo col dire che dai nostri test e analisi di alboratioro: uno degli attacchi più insidiosi degli ultimi anni, l’SSL Stripping, è risultato essere molto meno efficace.

Introdotti nel 2009 da Moxie Marlinspike, questo attacco aveva lo scopo di trasformare una connessione sicura HTTPS in una semplice HTTP, privando l’utente della protezione crittografica senza che se ne accorgesse.

In pratica, l’attaccante si inseriva tra il browser e il sito web – un classico attacco man-in-the-middle – intercettando le comunicazioni e modificandole al volo, con la possibilità di leggere e manipolare tutto ciò che passava.

L’introduzione di HSTS

Per contrastare questo tipo di attacco, nel 2012 è stato introdotto il meccanismo HTTP Strict Transport Security (HSTS). Attraverso l’intestazione Strict-Transport-Security, un server può indicare al browser di accedere al sito esclusivamente tramite connessioni HTTPS per un periodo di tempo specificato. Questo impedisce al browser di effettuare richieste HTTP non sicure verso il sito, riducendo significativamente la superficie di attacco per l’SSL Stripping.

Immaginiamo HSTS come un varco elettronico: una barriera digitale che si apre solo se arrivi con i requisiti giusti — in questo caso, una connessione HTTPS. Se tenti di passare con un collegamento HTTP non cifrato, la sbarra rimane abbassata. Niente accesso.

Il sito web comunica al browser, attraverso una semplice intestazione HTTP, una regola precisa:

“Per entrare qui, devi usare solo HTTPS, sempre. Qualsiasi altra via è bloccata.”

Una volta ricevuto quest’ordine, il browser lo memorizza e da quel momento in poi rifiuta qualsiasi connessione non protetta a quel sito. Nemmeno l’utente può forzarlo: il varco resta chiuso a chi non rispetta i requisiti di sicurezza.

Limitazioni e soluzioni

Una limitazione di HSTS è che la sua efficacia dipende dal fatto che l’utente abbia già visitato il sito almeno una volta tramite HTTPS. Per mitigare questo problema, i principali browser mantengono una lista interna di siti “autorizzati” che devono essere contattati solo e sempre via HTTPS già dalla prima visita. È come se quei siti avessero il badge elettronico pre-configurato: l’accesso sicuro è garantito fin da subito.

Tuttavia, questa lista non può includere tutti i siti web esistenti, lasciando una finestra di vulnerabilità per siti non inclusi.

Ecco perché, per i siti che non sono inclusi in quella lista e non configurano HSTS correttamente, la barriera può restare alzata. E in quel caso, un attaccante potrebbe ancora tentare un downgrade, forzando una connessione HTTP con tecniche come SSL Stripping o DNS Spoofing.

Configurazioni errate e rischi residui

Oltre a quanto già detto, le configurazioni errate possono esporre i siti a ulteriori rischi. Ad esempio, se un sito non implementa correttamente HSTS o non è incluso nella lista pre-caricata dei browser, un attaccante potrebbe ancora tentare un attacco di SSL Stripping. È quindi fondamentale che i siti web configurino correttamente HSTS e che gli utenti siano consapevoli dei rischi associati a connessioni non sicure.

HSTS è uno strumento potente, ma non magico. Funziona molto bene ma se si sodisfano i seguenti criteri:

• Il sito lo ha configurato in modo corretto
• Il dominio è presente nella lista pre-caricata del browser
• L’utente non viene intercettato prima della prima connessione sicura

L’adozione di HTTPS e HSTS ha reso gli attacchi di SSL Stripping significativamente meno efficaci. Tuttavia, la sicurezza completa dipende da una corretta configurazione dei server e dalla consapevolezza degli utenti. È essenziale che i siti web implementino HSTS in modo appropriato e che gli utenti prestino attenzione alla sicurezza delle loro connessioni.

Attenzione

La sicurezza completa non esiste, la consapevolezza e conoscenza di questi limiti ci permette di essere meno esposti. Soprattutto su reti aperte come quelle pubbliche o non protette.Gli attaccanti ci hanno mostrato più di una volta di essere molto ingegnosi e di riuscire a trovare sempre un modo di ottenere quello che vogliono. In questi due laboratori vogliamo dare evidenza di due possibili scenari in cui ci potremmo trovare collegandosi ad una rete aperta:

• Un portale fasullo: laboratorio per superare le cifrature l’HTTPS
  Laboratorio realizzato grazie a Marco Mazzola
• File in chiaro: laboratorio sul degrado della cifratura nei trasferimenti FTP
  Laboratorio realizzato grazie a Manuel Roccon

⚠️ Attenzione le informazioni riportate in calce sono a scopo educativo! Non utilizzarle per attività illegali o senza autorizzazione.⚠️

NB: Tutte le simulazione sono svolte in un ambiente di laboratorio, senza coinvolgere reti o utenti reali.

ARP spoofing

Partiamo da un piccolo accenno sull’arp spoofing che useremo in entrambi i laboratori e che viene usata di frequente nelle reti non sicure.

L’ARP spoofing (o ARP poisoning) è una tecnica di attacco informatico che sfrutta le vulnerabilità del protocollo ARP (Address Resolution Protocol) per associare l’indirizzo MAC dell’attaccante all’indirizzo IP di un altro dispositivo sulla stessa rete locale.

In parole semplici, l’attaccante invia messaggi ARP falsificati sulla rete, convincendo gli altri dispositivi (ad esempio, un computer vittima e il router) che l’indirizzo MAC dell’attaccante corrisponde all’indirizzo IP della vittima (o del router).

In breve possiamo vedere nella tabella di arp dispositivo della vittima, prima dell’attacco ARP, il MAC address corretto associato all IP gateway.

Nei sistemi Windows “arp -a” permette di vedere l’attuale tabella arp creata da precedenti comunicazioni con gli hosts.

Una volta iniziato attacco di arp spoofing, questo mac associato all’IP del gateway è stato sostituito con quello dell’attaccante.

D’ora in poi tutto il traffico che la vittima cercherà di inviare al gateway (192.168.0.1) per raggiungere internet, arriverà tutto all’attaccante, che poi tramite forwarding invierà al router originale e viceversa.

La vittima è già sotto attacco e non si sta accorgendo del problema.

Alcune Considerazioni

ARP spoofing è uno degli attacchi per poter eseguire del MiTM.

Un’altra tecnica potrebbe essere quella di usare il DHCP spoofing, inducendo i client a usare differenti configurazioni DHCP da quelle previste, incluso un gateway diverso che può essere controllato dall’attaccante per sniffare e re-indirizzare il traffico.

LAB 1 – Un portale fasullo: laboratorio per superare le cifrature l’HTTPS

In questo laboratorio analizziamo passo dopo passo un attacco Man-in-the-Middle (MITM) condotto su una rete Wi-Fi non protetta. L’obiettivo è simulare uno scenario reale in cui un attaccante riesce a intercettare il traffico della vittima e manipolarlo, sfruttando l’urgenza e la disattenzione dell’utente. Tutte le operazioni sono svolte in ambiente di laboratorio, a fini esclusivamente formativi.

Descrizione Scenario

1. Connessione del Client alla Rete

• Il dispositivo client si connette a una rete Wi-Fi Free, preparandosi a navigare verso siti web.

1. Intercettazione del Traffico tramite ARP Spoofing

• Utilizzando tecniche di ARP spoofing, l’attaccante manipola le tabelle ARP della rete locale, facendo sì che il traffico del client venga indirizzato attraverso il dispositivo dell’attaccante. Questo posiziona l’attaccante tra il client e il gateway, permettendo l’intercettazione trasparente dei dati.

1. Reindirizzamento delle Richieste DNS (DNS Hijacking)

• L’attaccante manipola le risposte DNS, indirizzando tutte le richieste del client verso un server controllato. Questo permette di presentare al client contenuti falsificati o dirottare le sue richieste verso destinazioni malevole.

1. Presentazione di un Captive Portal Falso

• Il client, tentando di accedere a Internet, viene reindirizzato a un captive portal falso che simula una pagina di accesso. Questo portale può essere utilizzato per indurre l’utente a fornire credenziali o come in questo caso per installare certificati malevoli.

1. Installazione di un Certificato Malevolo

• Il captive portal falso può richiedere l’installazione di un certificato SSL/TLS controllato dall’attaccante. Se l’utente accetta, l’attaccante può decrittare il traffico HTTPS del client, accedendo a informazioni sensibili.

1. Analisi del Traffico in Chiaro

• Con il certificato installato, l’attaccante può monitorare e analizzare il traffico del client, raccogliendo dati come credenziali di accesso, informazioni personali e altri dati sensibili

Descrizione degli strumenti e fasi Operative

In questo laboratorio sia vittima che attaccante si trovano nello stesso segmento di rete non protetta, dove non sono state implementate tecniche protezione lato rete (parleremo di queste mitigazioni nei prossimo articoli )

La vittima

La nostra vittima è un utente con sistema operativo Window 11 aggiornato alle ultime patch disponibili, che si connette ad una rete WIFI aperta. L’utilizzo di una rete non sicura avviene per diversi motivi come già trattato nell’articolo “Reti WiFi Aperte: Un Terreno Fertile per il Cybercrime”.

Ed è proprio questa esigenza di restare connessi a tutti i costi che diventa un’arma molto potente per gli attaccanti.

L’attaccante

L’attaccante opera da una macchina Kali Linux, sulla stessa rete della vittima, e predispone il sistema per intercettare e manipolare il traffico.

Predisposizione del attacco

Fase 1 – Abilitazione del forwarding

Il primo passo consiste nel abilitare il packet forwarding su Kali, trasformandolo in un nodo che inoltra il traffico tra la vittima e il gateway reale.

sudo sysctl -w net.ipv4.ip_forward=1

Fase 2 – Reindirizzamento del traffico HTTP e HTTPS

Utilizziamo iptables per dirottare tutto il traffico in uscita su porte 80 (HTTP) e 443 (HTTPS) verso la porta locale 8080, dove un proxy sarà in ascolto.

sudo iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 8080

sudo iptables -t nat -A PREROUTING -p tcp –dport 443 -j REDIRECT –to-port 8080

Fase 3 – DNS Hijacking con dnsmasq

Per intercettare le richieste di nomi a dominio e forzarle verso l’IP dell’attaccante, configuriamo un DNS Hijacking con dnsmasq.

Modificando o creando il file di configurazione:

sudo nano /etc/dnsmasq.conf

Con il seguente contenuto:

interface=wlan0
no-dhcp-interface=wlan0
bind-interfaces
bogus-priv
log-queries
log-facility=/var/log/dnsmasq.log
address=/#/192.168.1.251

In fine avviamo dnsmasq con:

sudo dnsmasq -C /etc/dnsmasq.conf

Da questo momento tutte le richieste DNS ricevute dall’interfaccia wlan0 restituiranno sempre l’indirizzo IP dell’attaccante (192.168.1.251), simulando un captive portal o un MITM proxy.

Fase 4 – ARP Spoofing

Per intercettare il traffico, l’attaccante esegue un attacco ARP spoofing, facendo credere alla vittima che il suo MAC sia quello del gateway.

sudo arpspoof -i wlan0 -t 192.168.1.113 192.168.1.1

Come visto sopra in questo modo, tutto il traffico destinato al gateway sarà deviato attraverso la macchina dell’attaccante, che agisce da intermediario trasparente.

Fase 5 – Attivazione di mitmproxy

Ora abilitiamo mitmproxy, che agirà da proxy trasparente per intercettare e ispezionare il traffico HTTP e HTTPS.

sudo mitmproxy –mode transparent –showhost –listen-port 8080

NB:Per questo laboratorio abbiamo selezionato “mitmproxy” in quanto dispone di un certificato scaricabile pubblicamente che non deve essere trustato, e quindi semplifica l’ installazione nel client della vittima (mitm.it/)​​.

Azione

Quando la vittima si collega alla rete WiFi aperta e non protetta, tutto il suo traffico finirà nella macchina Kali Linux dell’attaccante. Già questo abbiamo visto nei vari articoli essere un problema di per sé, ma se la vittima non effettuasse ulteriori azioni almeno il traffico HTTPS sarebbe al sicuro.

Presentazione del Captive Portal e Installazione Certificato

Una volta che la vittima apre il browser e prova a navigare, viene automaticamente reindirizzata a un falso captive portal ospitato dall’attaccante.

1. Il portale simula una schermata di accesso alla rete dove viene proposto il download del certificato per poter navigare in modo “sicuro”
2. La vittima a causa della sua esigenza di essere connesso accetta e installa il certificato senza prestare troppa attenzione a quello che sta facendo.
3. Effettua quindi il download del certificato e in pochi semplici passaggi lo installa :
   
   
4. Il portale di login registra questa azione e mette il dispositivo della vittima in white list. In caso di problemi lato script l’attaccante potrebbe vedere per una seconda volta la pagina del portale dove questa volta deve solo cliccare “Ho installato il certificato- Continua”
   
5. La vittima da questo momento può navigare. Ignaro che il suo traffico arriverà all’attaccante che potrà da ora decifrare tutto il traffico cifrato HTTPS.

Analisi del traffico

Come mostrato in figura con il certificato accettato e il traffico in transito attraverso mitmproxy, l’attaccante potrà:

• intercettare credenziali di accesso,
• visualizzare richieste a servizi sensibili (banche, email, social),
• analizzare contenuti originariamente cifrati.

Considerazioni

In conclusione, questo laboratorio rappresenta un’opportunità preziosa per comprendere le tecniche storiche di intercettazione in rete, esplorandone il funzionamento in un ambiente controllato e sicuro. Analizzare questi scenari non significa solo conoscere “come avvenivano gli attacchi”, ma soprattutto capire come prevenirli e rafforzare la sicurezza delle nostre infrastrutture digitali. Solo attraverso lo studio pratico e la consapevolezza possiamo costruire sistemi più resilienti, capaci di resistere alle minacce del passato e del futuro.

LAB 2 – File in chiaro: laboratorio sul degrado della cifratura nei trasferimenti FTP

Come HTTP, il protocollo FTP (File Transfer Protocol) è ormai obsoleto e non sicuro; ma continua a essere utilizzato in molte organizzazioni per il trasferimento di file, inclusi dati sensibili.

Come HTTPS, invece il protocollo FTPS permette di instaurare una connessione cifrata e sicura tra Client e Server; questa estensione del protocollo FTP aggiunge la cifratura TLS o SSL (da non confondere con SFTP), in modo che nessuno a parte server e client possano accedere al contenuto dei dati.

L’FTP (File Transfer Protocol) è un protocollo standard di rete usato per trasferire file tra un client e un server su una rete TCP/IP, come Internet. In pratica, permette di caricare (upload) e scaricare (download) file da un computer remoto.

Questo è ancora molto usato per lo scambio di dati,

per cui è chiaro che anche questi dati che viaggiano nella rete o verso internet dovrebbero essere protetti da cifratura.

In questo tipo di attacco forzeremo la vittima a usare un protocollo debole, FTP downgrade.

Questo attacco può essere sferrato quando la vittima utilizza un client FTP configurato per decidere in autonomia il protocollo più sicuro tra i disponibili.

In questo esempio abbiamo usato FILEZILLA, in cui la configurazione di default prevede che il programma scelga lui in automatico la connessione sicura se presente.

In questo caso connettendosi normalmente il client sarà connesso tramite TLS in automatico, perchè questo capirà che FTP server ha configurato il protocollo TLS.

Vediamo invece che utilizzando un attacco MiTM (Man In The Middle), in cui un aggressore si posizionerà in mezzo alla comunicazione, permetterà di forzare la vittima ad usare il protocollo FTP in chiaro, così da recuperare le credenziali di accesso.

PREPARAZIONE ATTACCO

Prima cosa abilitare il forwarding dei pacchetti, che trasforma l’attaccante in un router IPv4, così come vedremo dopo tutto il traffico della vittima che arriverà verrà girato al vero gateway e vice versa:

echo 1 > /proc/sys/net/ipv4/ip_forward

Installiamo un FTP locale nel dispositivo della vittima. In questo esempio abbiamo installato e avviato pure FTP e configurato in modo che accetti solo connessioni in chiaro (escludendo il TLS).

sudo systemctl start pure-ftpd

Eseguiamo del ARP spoofing (lo spiegheremo meglio qui sotto) tramite il framework MITMf, questo farà in modo che la vittima modifichi il mac address associato all’IP del router sostituendolo con quello della vittima.

MITMf (Man-In-The-Middle Framework) si pone come un potente strumento “tutto in uno” per eseguire attacchi Man-In-The-Middle e manipolare il traffico di rete. La sua forza risiede proprio nell’aver superato le limitazioni di tool precedenti come Ettercap e Mallory, offrendo un’architettura modulare e altamente estensibile.

MITMf rappresenta un’evoluzione significativa nel panorama degli strumenti MITM, offrendo una piattaforma potente, flessibile e aggiornata per l’analisi della sicurezza delle reti e la simulazione di scenari di attacco.

github.com/byt3bl33d3r/MITMf

Useremo il parametro -i per indicare interfaccia connessa alla rete pubblica, –spoof e –arp per questo attacco di arp poisoning e infine –target e –gateway, come è intuibile, per IP di vittima e gateway.

sudo ./mitmf.py -i wlan0 –spoof –arp –target 192.168.0.42 –gateway 192.168.0.1

Come spiegato sopra grazie all’ARP spoofing tutto il traffico che la vittima cercherà di inviare al gateway per raggiungere internet e FTP esterno, arriverà tutto all’attaccante, che poi tramite forwarding invierà al router originale e viceversa.

Il tutto senza che la vittima si accorga di nulla.

Ora per poter intercettare il traffico ftp transitante creiamo una regola di prerouting tramite iptables nel dispositivo dell’attaccante, così tutto quello il traffico che la vittima effettuerà verso la porta 21, verrà dirottato al FTP server locale dell’attaccante.

sudo iptables -t nat -A PREROUTING -p tcp –destination-port 21 -j REDIRECT –to-port 21

DOWNGRADE E RECUPERO DELLE CREDENZIALI FTP

Ora se la vittima si collegasse da qui in poi a un server FTP, l’autenticazione verrà fatta sul server dell’attaccante priva di TLS.

In questo caso questa ultima versione di FILEZILLA avvertirebbe di un problema e di un probabile attacco di downgrade, un altro software potrebbe anche non avere questo controllo e procedere senza avvisi.

Questo perché in precedenza ci siamo collegati tramite TLS, se fosse la prima volta non avrebbe però segnalato il problema.

Se la vittima consentirà a questo messaggio senza farsi molte domande e proseguirà con l’autenticazione, MITMF catturerà le credenziali scambiate in chiaro, incluso IP del server FTP.

Il messaggio che usiamo una connessione non sicura lo vedremo anche su filezilla nei log.

Una conseguenza oltre al furto di credenziali, se l’attaccante avesse configurato un server locale FTP che possa accettare qualunque credenziale passata dalla vittima, potrebbe accedere anche il furto dei dati che la vittima potrebbe provare a inviare all’attaccante.

Ovviamente per questo caso manca il prerouting anche della porta 20 e alcune porte passive.

NB: FileZilla segnala il downgrade solo se in precedenza era avvenuta una connessione FTPS, ma non sempre blocca il tentativo se la configurazione è su “connessione automatica”.

Considerazioni

Con questo laboratorio abbiamo dimostrato come, anche in presenza di protocolli sicuri come FTPS, la sicurezza possa essere compromessa se non si adottano configurazioni adeguate e consapevoli. Attraverso un attacco Man-in-the-Middle (MITM) e tecniche di ARP spoofing, è stato possibile forzare un client FTP, configurato per selezionare automaticamente il protocollo più sicuro disponibile, a retrocedere a una connessione non cifrata (FTP), esponendo così le credenziali e i dati trasmessi.

Questo scenario potrebbe presentarsi anche con i protocolli POP, IMAP, SMTP se il client di posta agisse in automatico a configurarsi il protocollo.

Importante quindi prestare attenzione alle configurazioni dei client per utilizzare esclusivamente connessioni sicure.

Mitigazioni

Per ridurre i rischi legati all’utilizzo di reti pubbliche o non affidabili, esistono diverse tecniche di mitigazione che possono essere applicate a livello infrastrutturale. Tra le più efficaci troviamo:

• Network Isolation – Separazione logica dei dispositivi per limitare la visibilità e l’interazione diretta tra client.
• Private VLAN – Isolamento dei client all’interno della stessa VLAN.
• Dynamic ARP Inspection (DAI) – Protezione contro attacchi di tipo ARP spoofing tramite verifica dell’integrità delle risposte ARP.
• DHCP Snooping – Blocco delle risposte DHCP non autorizzate per prevenire attacchi man-in-the-middle.
• Port Security sugli switch – Limitazione e controllo degli indirizzi MAC connessi alle porte fisiche.
• QoS e Traffic Shaping – Gestione della banda e delle priorità per migliorare l’efficienza e ridurre le superfici di attacco legate al congestionamento.
• Segmentazione della rete – suddivisione dell’infrastruttura in zone separate per contenere le minacce e semplificare il controllo (può essere fatto anche su base login).

Nei prossimi articoli approfondiremo ciascuna di queste soluzioni, analizzando scenari reali, configurazioni consigliate e il loro impatto sulla sicurezza complessiva della rete.

Conclusioni Finali

Come RedWave Team vogliamo sensibilizzare sul fatto che affidarsi ciecamente ai protocolli cifrati o alle configurazioni predefinite può generare un pericoloso senso di sicurezza. Abbiamo infatti visto, come connessioni protette possono essere compromesse se gli strumenti non sono configurati correttamente o se l’utente non è pienamente consapevole dei rischi.

La sicurezza delle comunicazioni non si basa soltanto sull’uso di HTTPS o FTPS, ma sull’adozione di un approccio proattivo che includa configurazioni sicure, formazione continua e buone pratiche operative.

Nel prossimo articolo esploreremo l’uso della VPN come ulteriore livello di protezione su reti non affidabili, e nei successivi analizzeremo strategie di mitigazione concrete per ridurre l’esposizione al rischio anche su reti problematiche come una WiFi aperta.

L'articolo Collegarsi a Wi-Fi pubblici? Anche con HTTPS non sei al sicuro! Scopriamolo con questo tutorial proviene da il blog della sicurezza informatica.