Modern motherboards don’t come with ISA slots, and almost everybody is fine with that. If you really want one, though, there are ways to get one. [TheRasteri] explains how in a forum post on the topic.

Believe it or not, some post-2010 PC hardware can still do ISA, it’s just that the slots aren’t broken out or populated on consumer hardware. However, if you know where to look, you can hack in an ISA hookup to get your old hardware going. [TheRasteri] achieves this on motherboards that have the LPC bus accessible, with the use of a custom PCB featuring the Fintek F85226 LPC-to-ISA bridge. This allows installing old ISA cards into a much more modern PC, with [TheRasteri] noting that DMA is fully functional with this setup—important for some applications. Testing thus far has involved a Socket 755 motherboard and a Socket 1155 motherboard, and [TheRasteri] believes this technique could work on newer hardware too as long as legacy BIOS or CSM is available.

It’s edge case stuff, as few of us are trying to run Hercules graphics cards on Windows 11 machines or anything like that. But if you’re a legacy hardware nut, and you want to see what can be done, you might like to check out [TheRasteri’s] work over on Github. Video after the break.

youtube.com/embed/putHMSzu5og?…

hackaday.com/2025/11/03/adding…

Un report di FortiGuard relativo alla prima metà del 2025 mostra che gli aggressori motivati economicamente stanno rinunciando sempre più a exploit e malware sofisticati. Invece di implementare strumenti utilizzano account validi e strumenti di accesso remoto legittimi per penetrare nelle reti aziendali senza essere rilevati.

Questo approccio si è dimostrato non solo più semplice ed economico, ma anche significativamente più efficace: gli attacchi che utilizzano password rubate sfuggono sempre più spesso al rilevamento.

Gli esperti riferiscono che nei primi sei mesi dell’anno hanno indagato su decine di incidenti in diversi settori, dalla produzione alla finanza e alle telecomunicazioni. L’analisi di questi casi ha rivelato uno schema ricorrente: gli aggressori ottengono l’accesso utilizzando credenziali rubate o acquistate , si connettono tramite VPN e quindi si muovono nella rete utilizzando strumenti di amministrazione remota come AnyDesk, Atera, Splashtop e ScreenConnect.
Prevalenza della tecnica di accesso iniziale nel primo semestre 2025 (Fonte Fortinet)
Questa strategia consente loro di mascherare la loro attività come attività di amministratore di sistema ed evitare sospetti. FortiGuard conferma questi risultati nello stesso periodo: le tendenze relative alle perdite di password documentate nei documenti open source corrispondono a quelle identificate durante le indagini interne. In sostanza, gli aggressori non devono “hackerare” i sistemi nel senso tradizionale del termine: accedono semplicemente utilizzando le credenziali di accesso di qualcun altro, spesso ottenute tramite phishing o infostealervenduti su piattaforme clandestine.

In un attacco analizzato, gli aggressori hanno utilizzato credenziali valide per connettersi a una VPN aziendale senza autenticazione a più fattori , quindi hanno estratto le password dell’hypervisor salvate dal browser dell’utente compromesso e hanno crittografato le macchine virtuali. In un altro caso, un operatore ha ottenuto l’accesso tramite un account di amministratore di dominio rubato e ha installato in massa AnyDesk sull’intera rete utilizzando RDP e criteri di gruppo, consentendogli di spostarsi tra i sistemi e di rimanere inosservato per periodi di tempo più lunghi. Ci sono stati anche casi in cui gli aggressori hanno sfruttato una vecchia vulnerabilità in un server esterno, implementato diversi strumenti di gestione remota e creato account di servizio fittizi per spostare e poi rubare documenti di nascosto.

L’analisi ha dimostrato che il furto di password rimane una delle strategie più economiche e accessibili. Il costo dell’accesso dipende direttamente dalle dimensioni e dall’area geografica dell’azienda: per le organizzazioni con oltre un miliardo di dollari di fatturato nei paesi sviluppati, può raggiungere i 20.000 dollari, mentre per le aziende più piccole nelle regioni in via di sviluppo, si aggira sulle centinaia di dollari. Le massicce campagne di infostealing forniscono un flusso costante di dati aggiornati e la bassa barriera all’ingresso rende tali attacchi appetibili anche per gruppi meno addestrati.

Il vantaggio principale di questo schema è la furtività. Il comportamento degli aggressori è indistinguibile da quello dei dipendenti legittimi, soprattutto se si connettono durante il normale orario di lavoro e agli stessi sistemi.

Gli strumenti di sicurezza focalizzati sulla scansione di file dannosi e processi sospetti spesso non sono in grado di rilevare anomalie quando l’attacco si limita all’accesso di routine e alla navigazione in rete. Inoltre, quando si rubano manualmente dati tramite interfacce RDP o funzionalità RMM integrate, è difficile risalire ai file trasferiti, poiché tali azioni non lasciano artefatti di rete evidenti.

Secondo le osservazioni di FortiGuard, gli aggressori coinvolti in tali campagne continuano a utilizzare attivamente Mimikatz e le sue varianti per estrarre le password dalla memoria, e continuano a utilizzare l’exploit Zerologon per l’escalation dei privilegi. A volte, utilizzano anche manualmente utility come GMER, rinominate “strumenti di sistema”, per nascondere la propria presenza.

FortiGuard sottolinea che la protezione da tali minacce richiede un ripensamento degli approcci. Affidarsi esclusivamente ai tradizionali sistemi EDR che analizzano il codice dannoso non garantisce più una sicurezza affidabile. Una strategia basata sugli account e sul comportamento degli utenti sta diventando più efficace.

Le aziende devono creare i propri profili di attività normale e rispondere tempestivamente alle deviazioni, ad esempio accessi da posizioni geografiche insolite, connessioni simultanee a più server o attività al di fuori dell’orario di lavoro.

Si raccomanda particolare attenzione all’autenticazione a più fattori, non solo per il perimetro esterno, ma anche all’interno della rete. Anche se un aggressore ottiene una password, richiedere un’autenticazione aggiuntiva ne rallenterà i progressi e creerà maggiori possibilità di essere individuato. È inoltre importante limitare i privilegi di amministratore, impedire l’uso di account privilegiati tramite VPN e monitorarne gli spostamenti all’interno dell’infrastruttura.

FortiGuard consiglia alle organizzazioni di controllare rigorosamente l’uso di strumenti di amministrazione remota. Se tali programmi non sono necessari per motivi aziendali, è opportuno bloccarli e monitorare eventuali nuove installazioni o connessioni di rete ad essi associate. Inoltre, si consiglia di disabilitare SSH, RDP e WinRM su tutti i sistemi in cui non sono necessari e di configurare avvisi per la riattivazione di questi servizi. Secondo gli analisti, tali misure possono rilevare anche tentativi nascosti di spostamento laterale all’interno della rete.

L'articolo Addio al malware! Nel 2025 i criminal hacker entrano con account legittimi per restare invisibili proviene da Red Hot Cyber.

Questo è il terzo di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in attesa del 25 novembre, Giornata Internazionale per l’Eliminazione della Violenza contro le Donne. Il focus qui è sul cyberstalking e le sue implicazioni legali e sociali.

Il cyberstalking rappresenta una delle insidie più subdole dell’era digitale, non essendo esclusivamente una mera riproposizione dello stalking tradizionale, ma una condotta che sfrutta e amplifica le debolezze dello spazio virtuale. Si tratta di una persecuzione reiterata realizzata attraverso strumenti telematici, che lede in profondità la riservatezza e la libertà individuale delle persone. L’analisi criminologica che propongo nelle aule universitarie e la mia esperienza diretta in aula di Tribunale confermano che questo fenomeno possiede caratteristiche distintive che ne rendono la portata lesiva decisamente maggiore. Come penalistaho trattato numerosi casi dove l’elemento digitale ha trasformato un conflitto in una vera e propria crisi esistenziale per la vittima.

L’amplificazione della violenza nella dimensione digitale

Il mondo online conferisce al persecutore diversi vantaggi che si traducono in un maggiore danno per la vittima. Anzitutto, la possibilità di celarsi dietro l’anonimato o di creare false identità (profili fake) aumenta il senso di impotenza della persona perseguitata.

In secondo luogo, la natura stessa del digitale garantisce accessibilità e permanenza illimitate alle condotte offensive o minatorie. I contenuti diffusi non hanno solo il potenziale di diventare virali in pochi istanti, ma lasciano una “impronta digitale” persistente che supera i confini spaziali e temporali della persecuzione fisica. Nella mia pratica forense, ho visto di persona come la vittima sia costretta a difendere la veridicità di quei dati che documentano la sua umiliazione, prolungando il danno psicologico ben oltre la chiusura del caso.

Un elemento cruciale che emerge dai fascicoli processuali è che l’aggressione digitale non rimane confinata nel virtuale. Il cyberstalking si inserisce in un continuum tra dimensione online e dimensione fisica. La sopraffazione inevitabilmente “trapela nel mondo fisico della vittima”, causando conseguenze che vanno dal danno psicologico ed economico fino al potenziale danno fisico o sessuale.

La dimensione di genere e le radici misogine

L’evidenza conferma che l’aggressione online non è un fenomeno neutro, ma è una riproduzione che amplifica le disuguaglianze di genere già esistenti nella società. Le donne e le ragazze sono sistematicamente i bersagli preferiti, aggredite attraverso una varietà di forme che spaziano dal sessismo esplicito, al bodyshaming, allo slutshaming, fino alle minacce di violenza sessuale, anche in ambienti immersivi come il Metaverso.

La radice di questa aggressività risiede in un intento ben preciso: dominio, controllo e silenziamento. Dal punto di vista criminologico, che analizzo in ambito accademico, Internet non è un mero strumento neutro, ma un vero e proprio catalizzatore che abbassa la percezione del rischio e la dissonanza morale del persecutore. La distanza fisica incoraggia azioni che difficilmente sarebbero compiute nello spazio reale.

Inquadramento normativo italiano e l’evoluzione giurisprudenziale

L’ordinamento italiano disciplina la condotta persecutoria attraverso l’Art. 612-bis del Codice Penale (Atti Persecutori, o Stalking), introdotto nel 2009. La norma punisce chiunque, con condotte reiterate di minaccia o molestia, provochi uno dei tre eventi alternativi: un persistente e grave stato di ansia o di paura; un fondato timore per l’incolumità propria o di un prossimo congiunto; l’alterazione delle proprie abitudini di vita.

Nonostante la crescente casistica digitale, il cyberstalking non è un reato autonomo. Viene ricondotto al comma 2 della stessa norma, che prevede un aumento di pena se il fatto è commesso “attraverso l’uso di strumenti informatici o telematici” – una previsione aggiunta nel 2013 (tramite D.L. 93/2013, convertito in L. 119/2013) per far fronte alla diffusione delle attività persecutorie tramite strumenti digitali.

Gli interventi del Codice Rosso (L. 69/2019) hanno rafforzato la tutela, inasprendo le sanzioni. Tuttavia permane una lacuna concettuale in quanto l’approccio italiano tratta il cyberstalking essenzialmente come un’aggravante che punisce il “come” è stato commesso il reato, senza affrontare la specifica lesività del “cosa” è stato commesso in termini di danno reputazionale e psicologico permanente generato dalla rete.

La giurisprudenza di legittimità ha progressivamente esteso e affinato la nozione di atto persecutorio nel contesto digitale, concentrando l’attenzione non tanto sullo strumento, quanto sulla sua idoneità lesiva in relazione alla vittima. Ad esempio, la Cassazione ha chiarito che la creazione di falsi profili Facebook o account internet riconducibili alla vittima non è di per sé reato di cyberstalking , ma lo diventa se l’utilizzo di detti profili si rivela idoneo a realizzare molestie reiterate, veicolando messaggi diffamatori o immagini offensive (Cass., Sez. V, sent. n. 25533/23). In un caso emblematico, lo stalking è stato riconosciuto nella condotta dell’ex che creava profili falsi a nome della vittima su social network frequentati da soggetti in cerca di esperienze, i quali la contattavano credendola disponibile per i propri interessi (Cass., Sez. Fer., sent. n. 36894/2015).

La Corte ha inoltre sottolineato l’impatto della capacità diffusiva della rete. La pubblicazione ripetuta su Facebook della fotografia dell’ex compagna, ad esempio, integra il reato di atti persecutori, poiché contribuisce a creare un clima idoneo a compromettere la serenità e la libertà psichica della persona offesa (Cass., Sez. V, sent. n. 10680/2022).

Un altro aspetto cruciale è la tutela estesa ai congiunti. Il reato può essere integrato anche da condotte che non colpiscono direttamente la vittima, ma sono a lei indirettamente rivolte, come l’invio di messaggi scritti e vocali minacciosi indirizzati al cellulare del figlio della coppia, ritenuto idoneo a raggiungere la moglie e a causare in lei un grave e perdurante stato di ansia (Cass., Sez. V, sent. n. 19531/2022). Infine, ai fini della continuità del reato, è irrilevante che la persona offesa tenti di interrompere le molestie bloccando e poi sbloccando l’utenza telefonica del persecutore, ciò non interrompe l’abitualità del reato, laddove le condotte complessivamente valutate risultino idonee a cagionare uno degli eventi alternativi previsti (Cass., Sez. V, sent. n. 44628/21).

La prova digitale nel Cyberstalking

Affinché la prova sia pienamente utilizzabile in sede processuale per dimostrare la reiterazione delle condotte tipiche dell’Art. 612-bis c.p., è indispensabile garantire i principi di integrità e autenticità del dato. Nel mio ruolo di difensoreho potuto constatare che semplici screenshot o stampe cartacee, pur essendo utili come indizi, hanno un valore probatorio limitato se contestati in dibattimento. Per esempio, una serie di minacce inviate via Instagram Direct richiede non solo la copia del messaggio, ma una acquisizione tecnica forense (digital forensic copy). Questo processo estrae l’originalità del dato informatico, includendo metadati essenziali come l’orario esatto di invio, la tipologia di dispositivo e l’identificativo unico del contenuto, che sono cruciali per attribuire la condotta al reo e dimostrare la sua serialità.

La tutela effettiva della vittima dipende dall’adozione di standard investigativi tecnici elevati. La mancanza di un protocollo investigativo forense uniforme, un tema che affronto spesso in ambito didattico, crea un elevato rischio di contenzioso probatorio sulla correttezza dell’acquisizione, costringendo la vittima a difendere la veridicità delle prove e prolungando il danno psicologico e il suo senso di impotenza.

Nel cyberstalking, l’evento di danno non è sempre tangibile come la lesione fisica, ma è spesso riscontrabile nell’alterazione delle abitudini di vita. La Cassazione riconosce che la vittima, a causa della persecuzione (ad esempio, profili fake che la diffamano sul luogo di lavoro o minacce diffuse pubblicamente), può essere costretta a “modificare le proprie abitudini online e offline”. L’atto di chiudere i profili social, cambiare numero di telefono o persino cambiare lavoro è la prova più oggettiva dell’effettiva intrusione nella sfera privata e della rinuncia a spazi essenziali della vita relazionale e professionale, integrando così l’evento costitutivo del reato.

Oltre la norma

Il cyberstalking si conferma non solo come un’aggravante tecnologica del reato di atti persecutori, ma come una manifestazione profonda della violenza di genere, che sfrutta l’infrastruttura digitale per amplificare la sua efficacia lesiva e il senso di dominio. L’attuale approccio italiano, pur rafforzato dalla giurisprudenza che estende l’Art. 612-bis c.p. a profili falsi e messaggi coartanti, sconta una lacuna dogmatica. Il fenomeno viene trattato punendo il “come”, l’uso dello strumento informatico, senza focalizzarsi pienamente sul “cosa” in termini di danno reputazionale permanente.

La vera discontinuità normativa è imminente con il recepimento della Direttiva UE 2024/1385, che imporrà di criminalizzare lo stalking online e le molestie digitali come reati autonomi. Ritengo che questa riformasarà cruciale per allineare la nostra legislazione, ma da sola non basta.

È imprescindibile standardizzare le metodologie di acquisizione della prova digitale (come la digital forensic copy) fin dalle prime fasi della denuncia, riducendo il contenzioso probatorio che costringe la vittima a rivivere il trauma per difendere l’autenticità dei dati.

La radice del cyberstalking è la misoginia. Ogni intervento normativo deve essere affiancato da un massiccio investimento in educazione e sensibilizzazione, a partire dalle scuole, per disinnescare alla base il senso di dominio e controllo che alimenta l’aggressione di genere.

Solo unendo una tutela penale mirata a standard investigativi ineccepibili e a una rivoluzione culturale contro il sessismo, si potrà costruire una barriera efficace e duratura contro questa forma subdola di sopraffazione.

L'articolo Cyberstalking contro il genere femminile: analisi e implicazioni legali proviene da Red Hot Cyber.

Una patch straordinaria ha risolto una falla di sicurezza nel servizio di aggiornamento dei server Windows (WSUS), ma a quanto pare, ha causato l’interruzione dell’applicazione di hotpatch su determinati server Windows 2025.

Ricordiamo che Microsoft Hotpatch è una tecnologia sviluppata da Microsoft che consente di applicare aggiornamenti di sicurezza alle macchine Windows senza richiedere un riavvio del sistema. È stata introdotta inizialmente per Windows Server Azure Edition, ma Microsoft sta progressivamente estendendola ad altre versioni di Windows, incluse quelle desktop (in fase sperimentale).

La Cybersecurity and Infrastructure Security Agency (CISA) ha disposto che le agenzie governative degli Stati Uniti proteggessero i loro sistemi, dopo aver incluso tale vulnerabilità nel proprio catalogo KEV.

Attualmente, il gruppo di monitoraggio Internet Shadowserver sta seguendo oltre 2.600 istanze online di WSUS che utilizzano le porte predefinite (8530/8531), tuttavia non ha reso noto il numero di quelle già protette.

Purtroppo, l’aggiornamento di emergenza sta causando questo problema, e questo emerge dopo che diverse aziende di sicurezza informatica hanno confermato che la falla di gravità critica CVE-2025-59287 consentiva la Remote Code Executio (RCE) e che gli exploit sono online.

“Un numero molto limitato di macchine registrate per Hotpatch ha ricevuto l’aggiornamento prima che il problema venisse risolto. L’aggiornamento è ora disponibile solo per le macchine che non sono registrate per ricevere gli aggiornamenti Hotpatch”, afferma Microsoft . “Questo problema riguarda solo i dispositivi Windows Server 2025 e le macchine virtuali (VM) registrate per ricevere gli aggiornamenti Hotpatch.”

Microsoft ha interrotto la distribuzione dell’aggiornamento KB5070881 per i dispositivi Windows Server 2022 registrati con Hotpatch. Gli utenti che hanno già installato l’aggiornamento non saranno più coperti dagli aggiornamenti Hotpatch previsti per novembre e dicembre.

Gli amministratori che hanno fatto il download dell’aggiornamento affetto da bug, ma non lo hanno ancora distribuito, hanno la possibilità di risolvere il problema installando l’aggiornamento di sicurezza KB5070893.

Questo aggiornamento, rilasciato un giorno dopo KB5070881, è stato appositamente creato per risolvere la vulnerabilità CVE-2025-59287 senza influire sull’hotpatching. Per procedere, occorre accedere a Impostazioni, quindi a Windows Update e selezionare l’opzione Sospendi aggiornamenti. A questo punto, gli amministratori devono riabilitare gli aggiornamenti e cercare manualmente gli aggiornamenti disponibili per ottenere quello corretto.

L'articolo L’aggiornamento di sicurezza per WSUS ha interrotto gli hotpatch su Windows Server 2025 proviene da Red Hot Cyber.