Una nuova versione, la 8.8.9, del noto editor di testo Notepad++, è stata distribuita dagli sviluppatori, risolvendo una criticità nel sistema di aggiornamento automatico. Questo problema è venuto a galla dopo che alcuni utilizzatori e investigatori hanno rilevato che, anziché scaricare legittimi aggiornamenti, il sistema provvedeva a scaricare eseguibili dannosi.

I primi indizi del problema sono emersi nei forum della comunità di Notepad++.

Un utente ha segnalato, ad esempio, di aver riscontrato che l’aggiornamento dello strumento GUP.exe (WinGUp) stava eseguendo un file che sembrava sospetto, %Temp%AutoUpdater.exe, il quale aveva iniziato a raccogliere dati relativi al sistema.

Il malware eseguiva i tipici comandi di ricognizione e salvava i risultati nel file a.txt:

• cmd /c netstat -ano >> a.txt
• cmd /c systeminfo >> a.txt
• cmd /c tasklist >> a.txt
• cmd /c whoami >> a.txt

Dopo aver raccolto i dati, curl.exe è stato utilizzato per inviare un file a temp[.]sh, un servizio di condivisione di file e testo già visto in altre campagne malware. Poiché GUP utilizza la libreria libcurl, non curl.exe, e non raccoglie affatto tali informazioni, i membri del forum hanno ipotizzato che l’utente abbia installato una build non ufficiale e infetta di Notepad++ oppure che il traffico di aggiornamento sia stato intercettato.

Per ridurre il rischio di intercettazione del traffico, lo sviluppatore Don Ho ha rilasciato la versione 8.8.8 il 18 novembre, che scarica gli aggiornamenti solo da GitHub. Tuttavia, questa soluzione si è rivelata insufficiente. Pertanto, il 9 dicembre è stata rilasciata la versione 8.8.9, con misure di sicurezza più rigorose: ora l’editor non installerà gli aggiornamenti a meno che non siano firmati dal certificato dello sviluppatore.

“A partire da questa versione, Notepad++ e WinGUP controllano la firma e il certificato dei programmi di installazione scaricati durante il processo di aggiornamento. Se il controllo fallisce, l’aggiornamento verrà interrotto”, si legge nell’annuncio ufficiale.

Va notato che all’inizio di dicembre, il noto specialista in sicurezza informatica Kevin Beaumont ha dichiarato di essere a conoscenza di tre organizzazioni che avevano subito incidenti correlati a Notepad++. “Sono stato contattato da tre aziende che stavano riscontrando problemi di sicurezza su computer che eseguivano Notepad++. Sembra che i processi di editing venissero utilizzati come punto di accesso primario”, ha scritto Beaumont. “Di conseguenza, gli aggressori ricorrevano all’intervento manuale.”

Il ricercatore ha osservato che tutte le organizzazioni interessate avevano interessi nell’Asia orientale e che l’attività dannosa sembrava mirata. Il fatto è che, quando Notepad++ verifica la presenza di aggiornamenti, accede a notepad-plus-plus.org/update/g… Se è disponibile una nuova versione, il server restituisce un file XML con il percorso dell’aggiornamento:

Beaumont ha ipotizzato che il meccanismo di aggiornamento automatico potrebbe essere stato compromesso per distribuire aggiornamenti dannosi che avrebbero consentito l’accesso remoto agli aggressori.

Lo specialista ha anche osservato che gli aggressori spesso utilizzano pubblicità dannose per distribuire versioni infette di Notepad++, che alla fine installano malware. Anche il bollettino ufficiale sulla sicurezza di Notepad++ contiene qualche incertezza. L’indagine è in corso e il metodo esatto di intercettazione del traffico non è ancora stato determinato.

Si consiglia vivamente a tutti gli utenti di aggiornare Notepad++ alla versione 8.8.9. Si segnala inoltre che, a partire dalla versione 8.8.7, tutti i file binari e gli installer ufficiali devono essere firmati con un certificato valido. Se l’utente ha installato un certificato radice personalizzato precedente, è necessario rimuoverlo.

L'articolo Supply Chain. Aggiornavi Notepad++ e installavi malware: cosa è successo davvero proviene da Red Hot Cyber.

Il phishing automatizzato, le frodi e lo sfruttamento dei dati in seguito a una violazione diventeranno operazioni perennemente attive in background

Milano, 15 dicembre 2025 – L’intelligenza artificiale agentica ridefinisce l’ecosistema criminale e presto permetterà di lanciare attacchi completamente automatizzati, che supereranno di gran lunga la potenza e la portata delle campagne ransomware e phishing attuali. Il dato emerge dall’ultimo report di Trend Micro, leader globale di cybersecurity, dal titolo “VibeCrime: Preparing Your Organization for the Next Generation of Agentic AI Cybercrime“.

Lo studio evidenzia che i cybercriminali utilizzeranno agenti AI specializzati, coordinati attraverso una regia centralizzata, al fine di condurre campagne su larga scala, adattive e altamente resilienti, riducendo al minimo l’intervento umano.

“L’intelligenza artificiale agentica fornisce ai criminali un arsenale pronto all’uso in grado di scalare, adattarsi e colpire anche senza l’intervento umano. Il rischio immediato non è un’improvvisa esplosione di crimini basati sull’AI, ma la lenta e inesorabile automazione degli attacchi che richiedevano capacità tecniche, tempo e sforzi. Questo sta già avvenendo”. Afferma Salvatore Marcis, Country Manager di Trend Micro Italia.

Gli highlight dello studio includono

• L’intelligenza artificiale agentica aumenterà enormemente il volume degli attacchi. Il phishing automatizzato, le frodi e lo sfruttamento dei dati in seguito a una violazione diventeranno operazioni perennemente attive in background
• Gli ecosistemi criminali passeranno da un modello cybercrime-as-a-service a uno cybercrime-as-a-servant, affidandosi ad agenti AI concatenati e a livelli di orchestrazione autonomi che gestiranno le attività criminali end-to-end
• Le piattaforme di difesa avranno bisogno di propri orchestratori e agenti autonomi per contrastare il cambiamento, altrimenti rischieranno di essere sopraffatte dalla portata e dalla velocità degli attacchi
• Nuove categorie di attacchi emergeranno molto più velocemente di quanto i difensori siano attualmente in grado di rilevare o mitigare

“L’Agentic AI ottimizzerà gli attacchi, amplificando i risultati di quelli con un basso ROI ed emergeranno nuovi modelli cybercriminali di business. Le aziende dovranno rivedere le strategie di security e investire in automazione e difese basate sull’intelligenza artificiale. Consigliamo di implementare un adeguato livello di resilienza prima che i cybercriminali industrializzino l’utilizzo dell’AI, altrimenti il rischio è di rimanere indietro nella corsa esponenziale agli armamenti, che separerà rapidamente le organizzazioni preparate da quelle che non lo sono.” Conclude Salvatore Marcis, Country Manager di Trend Micro Italia.

Ulteriori informazioni sono disponibili a questo link

Trend Micro

Trend Micro, leader globale di cybersecurity, contribuisce a rendere il mondo un posto più sicuro per lo scambio di informazioni digitali tra persone, organizzazioni pubbliche e private. Grazie all’IA e alle sue profonde conoscenze della cybersecurity, Trend protegge oltre 500.000 aziende e milioni di individui che utilizzano il cloud, le reti, gli endpoint e i più svariati dispositivi in tutto il mondo. Al centro della sua tecnologia c’è Trend Vision One, l’unica piattaforma di cybersecurity di livello enterprise potenziata dall’intelligenza artificiale, che centralizza la gestione dell’esposizione al rischio informatico e le operazioni di sicurezza, abilitando una protezione multilivello in ambienti on-premise, ibridi e multi-cloud.

L’impareggiabile intelligence sulle minacce di Trend permette alle organizzazioni di proteggersi proattivamente, ogni giorno, contro centinaia di milioni di minacce.

L'articolo Cybercrime e AI: l’intelligenza artificiale Agentica supererà presto le capacità di difesa proviene da Red Hot Cyber.

Sempre più sviluppatori stanno adottando strumenti supportati dall’intelligenza artificiale al fine di ottimizzare i loro processi lavorativi.

Ricordiamo che ultimamente Gartner ha emesso un avviso formale mettendo in guardia le organizzazioni sull’uso dei browser con funzionalità di intelligenza artificiale integrate, invitando le aziende a sospenderne temporaneamente l’adozione in ambito enterprise.

Gli analisti sottolineano che questi strumenti introducono rischi di sicurezza non necessari, poiché le configurazioni predefinite privilegiano l’usabilità e l’automazione a scapito della protezione dei dati, del controllo delle sessioni e della governance degli accessi.

Oggi parliamo di un racconto emerso su Reddit dove uno sviluppatore ha chiesto aiuto dopo aver utilizzato la CLI di Claude per ripulire i pacchetti in un vecchio repository, innescando un’eliminazione di dati a livello di sistema che ha quasi reso inutilizzabile il suo Mac.

La “CLI di Claude” è l’interfaccia a riga di comando (Command Line Interface) che permette di interagire con Claude (l’AI di Anthropic) direttamente dal terminale, senza passare da browser o interfacce grafiche. Consente di usare Claude come assistente AI locale/operativo per sviluppo, analisi e automazione.

Dopo un’analisi, la CLI di Claude ha identificato la causa principale: un comando malformato. Nello specifico, aveva eseguito: rm -rf tests/ patches/ plan/ ~/. La falla critica risiedeva nel carattere finale ~, che estendeva l’ambito di eliminazione alla directory home dell’utente.

Di conseguenza, venivano cancellate enormi quantità di dati, tra cui, a titolo esemplificativo ma non esaustivo, l’intera cartella Desktop, Documenti e Download, la directory Portachiavi (~/Library/Keychains) contenente le credenziali archiviate, l’archivio delle credenziali di Claude (~/.claude), i dati delle applicazioni e, di fatto, tutto il contenuto presente in /Users/.

Con la crescente adozione, aumentano anche le segnalazioni di guasti catastrofici causati da questi strumenti. In un precedente incidente, uno sviluppatore ha utilizzato Google Antigravity per cancellare una cache, ma l’intero disco D: è stato cancellato. L’intelligenza artificiale si è poi scusata, attribuendo il disastro a un proprio errore operativo, sebbene i file persi fossero irrecuperabili.

Alcuni sviluppatori partecipanti alla discussione hanno evidenziato che i colleghi delle loro società avevano sperimentato incidenti analoghi. L’origine del problema, secondo loro, risiede nell’incapacità di restringere la directory di lavoro della CLI di Claude, concedendo di fatto all’intelligenza artificiale un accesso senza limiti all’intera macchina. Questo tipo di approccio, mettevano in guardia, è intrinsecamente rischioso.

Recuperare i dati dopo una cancellazione di questo tipo è estremamente difficile. Tuttavia, l’incidente offre una lezione appresa a fatica. Successivamente, diversi ingegneri hanno suggerito di effettuare la CLI di Claude all’interno di un ambiente Docker containerizzato.

L’obiettivo è salvaguardare il sistema host usando la containerizzazione come strato di isolamento, in modo che, qualora l’IA dovesse riscontrare problemi, non sia in grado di eliminare file sulla macchina sottostante.

L'articolo Intelligenza Artificiale e CLI di Claude: cancellato l’intero disco D per errore proviene da Red Hot Cyber.

Recently, [Greg Kroah-Hartman] proclaimed the joyous news on the Linux Kernel Mailing List that stable General Purpose Interface Bus (GPIB) support has finally been merged into the 6.19 Linux kernel.

The GPIB is a short-range 8-bit, multi-master interface bus that was standardized as IEEE 488. It first saw use on HP laboratory equipment in the 1970s, but was soon after also used by microcomputers like the Commodore PET, Commodore 64 and others. Although not high-speed with just 8 MB/s, nor with galvanic isolation requirements, it’s an uncomplicated bus design that can be implemented without much of a blip on the BOM costs.

The IEEE 488 standard consists of multiple elements, with 488.1 defining the physical interface and 488.2 the electrical protocol. Over the decades a communication protocol was also developed, in the form of SCPI and its standardized way of communicating with a wide range of devices using a simple human-readable protocol.

Although the physical side of IEEE 488 has changed over the years, with Ethernet becoming a major alternative to the short GPIB cables and large connectors, the electrical protocol and SCPI alike are still very much relevant today. This latest addition to the Linux kernel should make it much easier to use both old and new equipment equipped with this bus.

hackaday.com/2025/12/16/after-…

ubiquità: no grazie
spieghiamoci, dunque:

noblogo.org/differx/ubiquita-n…

#annotazione #ubiquita #slowforward #EntropiaGratis

Introduction

Imagine you’re cruising down the highway in your brand-new electric car. All of a sudden, the massive multimedia display fills with Doom, the iconic 3D shooter game. It completely replaces the navigation map or the controls menu, and you realize someone is playing it remotely right now. This is not a dream or an overactive imagination – we’ve demonstrated that it’s a perfectly realistic scenario in today’s world.

The internet of things now plays a significant role in the modern world. Not only are smartphones and laptops connected to the network, but also factories, cars, trains, and even airplanes. Most of the time, connectivity is provided via 3G/4G/5G mobile data networks using modems installed in these vehicles and devices. These modems are increasingly integrated into a System-on-Chip (SoC), which uses a Communication Processor (CP) and an Application Processor (AP) to perform multiple functions simultaneously. A general-purpose operating system such as Android can run on the AP, while the CP, which handles communication with the mobile network, typically runs on a dedicated OS. The interaction between the AP, CP, and RAM within the SoC at the microarchitecture level is a “black box” known only to the manufacturer – even though the security of the entire SoC depends on it.

Bypassing 3G/LTE security mechanisms is generally considered a purely academic challenge because a secure communication channel is established when a user device (User Equipment, UE) connects to a cellular base station (Evolved Node B, eNB). Even if someone can bypass its security mechanisms, discover a vulnerability in the modem, and execute their own code on it, this is unlikely to compromise the device’s business logic. This logic (for example, user applications, browser history, calls, and SMS on a smartphone) resides on the AP and is presumably not accessible from the modem.

To find out, if that is true, we conducted a security assessment of a modern SoC, Unisoc UIS7862A, which features an integrated 2G/3G/4G modem. This SoC can be found in various mobile devices by multiple vendors or, more interestingly, in the head units of modern Chinese vehicles, which are becoming increasingly common on the roads. The head unit is one of a car’s key components, and a breach of its information security poses a threat to road safety, as well as the confidentiality of user data.

During our research, we identified several critical vulnerabilities at various levels of the Unisoc UIS7862A modem’s cellular protocol stack. This article discusses a stack-based buffer overflow vulnerability in the 3G RLC protocol implementation (CVE-2024-39432). The vulnerability can be exploited to achieve remote code execution at the early stages of connection, before any protection mechanisms are activated.

Importantly, gaining the ability to execute code on the modem is only the entry point for a complete remote compromise of the entire SoC. Our subsequent efforts were focused on gaining access to the AP. We discovered several ways to do so, including leveraging a hardware vulnerability in the form of a hidden peripheral Direct Memory Access (DMA) device to perform lateral movement within the SoC. This enabled us to install our own patch into the running Android kernel and execute arbitrary code on the AP with the highest privileges. Details are provided in the relevant sections.

Acquiring the modem firmware

The modem at the center of our research was found on the circuit board of the head unit in a Chinese car.

Circuit board of the head unit

Description of the circuit board components:

Using information about the modem’s hardware, we desoldered and read the embedded multimedia memory card, which contained a complete image of its operating system. We then analyzed the image obtained.

Remote access to the modem (CVE-2024-39431)

The modem under investigation, like any modern modem, implements several protocol stacks: 2G, 3G, and LTE. Clearly, the more protocols a device supports, the more potential entry points (attack vectors) it has. Moreover, the lower in the OSI network model stack a vulnerability sits, the more severe the consequences of its exploitation can be. Therefore, we decided to analyze the data packet fragmentation mechanisms at the data link layer (RLC protocol).

We focused on this protocol because it is used to establish a secure encrypted data transmission channel between the base station and the modem, and, in particular, it is used to transmit higher-layer NAS (Non-Access Stratum) protocol data. NAS represents the functional level of the 3G/UMTS protocol stack. Located between the user equipment (UE) and core network, it is responsible for signaling between them. This means that a remote code execution (RCE) vulnerability in RLC would allow an attacker to execute their own code on the modem, bypassing all existing 3G communication protection mechanisms.

3G protocol stack

The RLC protocol uses three different transmission modes: Transparent Mode (TM), Unacknowledged Mode (UM), and Acknowledged Mode (AM). We are only interested in UM, because in this mode the 3G standard allows both the segmentation of data and the concatenation of several small higher-layer data fragments (Protocol Data Units, PDU) into a single data link layer frame. This is done to maximize channel utilization. At the RLC level, packets are referred to as Service Data Units (SDU).

Among the approximately 75,000 different functions in the firmware, we found the function for handling an incoming SDU packet. When handling a received SDU packet, its header fields are parsed. The packet itself consists of a mandatory header, optional headers, and data. The number of optional headers is not limited. The end of the optional headers is indicated by the least significant bit (E bit) being equal to 0. The algorithm processes each header field sequentially, while their E-bits equal 1. During processing, data is written to a variable located on the stack of the calling function. The stack depth is 0xB4 bytes. The size of the packet that can be parsed (i.e., the number of headers, each header being a 2-byte entry on the stack) is limited by the SDU packet size of 0x5F0 bytes.

As a result, exploitation can be achieved using just one packet in which the number of headers exceeds the stack depth (90 headers). It is important to note that this particular function lacks a stack canary, and when the stack overflows, it is possible to overwrite the return address and some non-volatile register values in this function. However, overwriting is only possible with a value ending in one in binary (i.e., a value in which the least significant bit equals 1). Notably, execution takes place on ARM in Thumb mode, so all return addresses must have the least significant bit equal to 1. Coincidence? Perhaps.

In any case, sending the very first dummy SDU packet with the appropriate number of “correct” headers caused the device to reboot. However, at that moment, we had no way to obtain information on where and why the crash occurred (although we suspect the cause was an attempt to transfer control to the address 0xAABBCCDD, taken from our packet).

Gaining persistence in the system

The first and most important observation is that we know the pointer to the newly received SDU packet is stored in register R2. Return Oriented Programming (ROP) techniques can be used to execute our own code, but first we need to make sure it is actually possible.

We utilized the available AT command handler to move the data to RAM areas. Among the available AT commands, we found a suitable function – SPSERVICETYPE.

Next, we used ROP gadgets to overwrite the address 0x8CE56218 without disrupting the subsequent operation of the incoming SDU packet handling algorithm. To achieve this, it was sufficient to return to the function from which the SDU packet handler was called, because it was invoked as a callback, meaning there is no data linkage on the stack. Given that this function only added 0x2C bytes to the stack, we needed to fit within this size.

Stack overflow in the context of the operating system

Having found a suitable ROP chain, we launched an SDU packet containing it as a payload. As a result, we saw the output 0xAABBCCDD in the AT command console for SPSERVICETYPE. Our code worked!

Next, by analogy, we input the address of the stack frame where our data was located, but it turned out not to be executable. We then faced the task of figuring out the MPU settings on the modem. Once again, using the ROP chain method, we generated code that read the MPU table, one DWORD at a time. After many iterations, we obtained the following table.

The table shows what we suspected – the code section is only mapped for execution. An attempt to change the configuration resulted in another ROP chain, but this same section was now mapped with write permissions in an unused slot in the table. Because of MPU programming features, specifically the presence of the overlap mechanism and the fact that a region with a higher ID has higher priority, we were able to write to this section.

All that remained was to use the pointer to our data (still stored in R2) and patch the code section that had just been unlocked for writing. The question was what exactly to patch. The simplest method was to patch the NAS protocol handler by adding our code to it. To do this, we used one of the NAS protocol commands – MM information. This allowed us to send a large amount of data at once and, in response, receive a single byte of data using the MM status command, which confirmed the patching success.

As a result, we not only successfully executed our own code on the modem side but also established full two-way communication with the modem, using the high-level NAS protocol as a means of message delivery. In this case, it was an MM Status packet with the cause field equaling 0xAA.

However, being able to execute our own code on the modem does not give us access to user data. Or does it?

The full version of the article with a detailed description of the development of an AR exploit that led to Doom being run on the head unit is available on ICS CERT website.

Remote control is a wonder of the age, we press a button, and something happens as if by magic. But what happens if there is no remote control, and instead a real physical button must be pressed? [What Up TK Here], who regular Hackaday readers might just recognize, had just this problem, and made a remote control button presser.

It’s a 3D printed frame which we’re told is designed for a specific item, on top of which is mounted a hobby servo. Rotating the servo brings the lever down on the button, and the job is done. At the user end there’s a button in a printed enclosure that’s definitely not a knock-off of a well-known franchise from a notoriously litigious console company.

This is all good, but the interest for other projects lies in how it works. It’s using a pair of ESP32 microcontrollers, and instead of connecting to an existing WiFi network it’s using ESP-NOW for simplicity and low latency. This is a good application for the protocol, but as we’ve seen, it’s useful for a lot more than just button pressing.

youtube.com/embed/ZmQ8ZgjdmAg?…

hackaday.com/2025/12/16/why-pu…

Questa non è la classica violazione fatta di password rubate e carte di credito clonate.
È qualcosa di molto più delicato. Il data breach che ha coinvolto Pornhub nel dicembre 2025 rappresenta uno degli incidenti di privacy più sensibili dell’anno, perché a finire esposti non sono stati dati “tecnici”, ma le abitudini e le preferenze degli utenti.

L’origine dell’incidente non è interna alla piattaforma, ma riconduce a Mixpanel, fornitore di servizi di analytics utilizzato in passato da Pornhub. Un dettaglio che cambia poco per chi oggi si ritrova potenzialmente esposto a estorsioni, ricatti e danni reputazionali.

Cosa è successo davvero

La violazione è conseguenza di un attacco subito da Mixpanel l’8 novembre 2025, quando attori malevoli hanno ottenuto accesso ai sistemi del provider tramite una campagna di SMS phishing (smishing).

A seguito dell’incidente, Mixpanel ha notificato i clienti coinvolti segnalando l’accesso non autorizzato a dataset di analytics storici. Pornhub ha successivamente confermato che dati relativi a membri Premium erano inclusi nel perimetro dell’esposizione.

Pornhub ha precisato che:

• i propri sistemi non sono stati compromessi
• password e dati di pagamento non sono stati esposti

Tuttavia, la natura dei dati coinvolti rende l’incidente tutt’altro che marginale.

I dati esposti: non finanziari, ma devastanti

Secondo le informazioni disponibili e le rivendicazioni del gruppo criminale ShinyHunters, il dataset sottratto ammonterebbe a circa 94 GB, con oltre 200 milioni di record.

I dati includerebbero:

• indirizzi email associati ad account Premium
• ricerche effettuate sulla piattaforma
• cronologia dei video visualizzati
• attività di download
• titoli e URL dei video
• keyword associate ai contenuti
• timestamp dettagliati
• metadati di localizzazione generale

Si tratta di eventi di analytics generati prima del 2021, periodo in cui Pornhub utilizzava Mixpanel. Ma l’età dei dati non ne riduce l’impatto: le abitudini non scadono.

Perché questa violazione è diversa dalle altre

A differenza di credenziali o carte di credito, i dati comportamentali non possono essere “cambiati”. La cronologia di ricerca e visione racconta preferenze, interessi, pattern personali. Una volta esposta, rimane per sempre. Ed è proprio questo che rende l’incidente estremamente appetibile per attività di estorsione.

In alcuni contesti geografici o culturali, la semplice associazione di un indirizzo email a contenuti per adulti può avere ripercussioni legali, professionali o personali. È qui che il danno supera la dimensione tecnica e diventa concreto.

ShinyHunters e l’estorsione come modello di business

Il gruppo ShinyHunters, già protagonista di numerose operazioni di data theft nel 2025, ha rivendicato il possesso dei dati e avviato tentativi di estorsione nei confronti delle aziende coinvolte.

Lo schema è ormai noto:

1. violazione di un fornitore terzo
2. furto di dataset ad alto impatto mediatico
3. pressione economica sulla vittima
4. minaccia di pubblicazione

Ancora una volta, il punto di ingresso non è stato il bersaglio principale, ma la catena di fornitura digitale.

Retention dei dati e responsabilità dei fornitori

Questo incidente solleva una domanda inevitabile: perché informazioni così sensibili erano ancora conservate a distanza di anni dalla fine del rapporto con il fornitore?

La gestione della retention dei dati e la loro effettiva minimizzazione continuano a rappresentare uno dei punti più fragili nella catena di sicurezza di molte organizzazioni, soprattutto quando entrano in gioco servizi di terze parti.

Non è sufficiente affermare di non aver subito una violazione diretta.
Quando i dati degli utenti vengono esposti attraverso un fornitore, la responsabilità non scompare dal punto di vista dell’impatto.

Per chi subisce le conseguenze, la distinzione tra infrastruttura interna e piattaforma esterna è puramente teorica. I dati sono stati compromessi, ed è questo l’unico elemento che conta.

Considerazioni finali

Il caso Pornhub-Mixpanel dimostra che la sicurezza non si ferma ai confini aziendali e che i servizi di analytics possono diventare un vettore di rischio enorme se non governati con attenzione.

Per gli utenti, è l’ennesima conferma che la privacy online è fragile, soprattutto quando si parla di piattaforme che promettono discrezione.

Per le aziende, è un avvertimento evidente, i fornitori terzi non sono un dettaglio contrattuale, ma una superficie d’attacco estesa.

E nel 2025, ignorarlo significa esporsi consapevolmente.

L'articolo Pornhub: esposta la cronologia dei membri Premium. Scopriamo cos’è successo proviene da Red Hot Cyber.

Un recente studio condotto da SentinelLabs getta nuova luce sulle radici del gruppo di hacker noto come “Salt Typhoon“, artefice di una delle più audaci operazioni di spionaggio degli ultimi dieci anni.

Identificata per la prima volta a settembre 2024, la campagna di attacchi ha compromesso numerose reti. Un avviso recente ha segnalato che il gruppo di hacker è riuscito a infiltrarsi in oltre 80 società di telecomunicazioni a livello mondiale.

Di conseguenza, sono stati raccolti dati sensibili, tra cui chiamate e messaggi di testo non protetti, provenienti da personaggi di spicco come aspiranti alla presidenza degli Stati Uniti e specialisti di Washington.

Grazie alla formazione acquisita partecipando a gare di networking, i membri del gruppo, riporta il rapporto di SentinelOne, inizialmente semplici studenti appassionati di networking Cisco, sono stati in grado di utilizzare le loro competenze per sferrare un attacco e mettere a rischio l’infrastruttura globale delle telecomunicazioni.

Dietro la tastiera di questa “tempesta geopolitica” ci sono due individui identificati come Yuyang (余洋) e Qiu Daibing (邱代兵). Lungi dall’essere figure oscure e sconosciute, sono comproprietari di aziende esplicitamente nominate negli avvisi di sicurezza informatica: Beijing Huanyu Tianqiong e Sichuan Zhixin Ruijie.

I due hanno una lunga e documentata storia di collaborazione, lavorando a stretto contatto per “depositare brevetti e orchestrare gli attacchi”.

La cosa più allarmante è che il gruppo non si è limitato a intercettare le comunicazioni, ma ha anche violato i sistemi progettati per le forze dell’ordine. Il rapporto osserva che “anche i sistemi integrati nelle società di telecomunicazioni, che facilitano l’intercettazione legale delle comunicazioni dei criminali, sono stati violati da Salt Typhoon”.

Il percorso del duo verso l’hacking sponsorizzato dallo stato non è iniziato in un bunker militare, ma in un’aula scolastica. Tredici anni prima di essere citati in un avviso di sicurezza statunitense, Yuyang e Qiu Daibing erano studenti della Southwest Petroleum University (SWPU), un’istituzione regionale Cinese con “pochi riconoscimenti per i suoi programmi di sicurezza informatica e sicurezza informatica “.

Nonostante la modesta reputazione della loro scuola, la coppia si distinse. Nella Cisco Network Academy Cup del 2012, in rappresentanza della SWPU, la squadra di Yu Yang si classificò seconda nel Sichuan, mentre la squadra di Qiu Daibing si aggiudicò il primo premio e si assicurò infine il terzo posto a livello nazionale.

Il rapporto traccia un toccante parallelo con le rivalità classiche, osservando che questa storia di spionaggio ad alta tecnologia “nasconde una storia antica come il tempo: un maestro esperto addestra un apprendista… l’apprendista usurpa il maestro”. Paragona la loro traiettoria a celebri litigi, come “la faida di Gordon Ramsay con Marco Pierre White” e “l’ascesa di Anakin sotto Obi-Wan Kenobi”.

La rivelazione evidenzia una vulnerabilità critica nelle iniziative di formazione tecnologica globali. La Cisco Network Academy, che ha aperto i battenti in Cina nel 1998, ha formato gli studenti proprio sugli stessi prodotti – Cisco IOS e ASA Firewall – che Salt Typhoon ha poi sfruttato.

Sebbene l’accademia abbia formato oltre 200.000 studenti in Cina, il successo di Yuyang e Qiu sottolinea una lezione da “Ratatouille” per il mondo della sicurezza informatica: “Chiunque può cucinare”. Due studenti di un’università poco stimata hanno utilizzato la formazione aziendale standard per sviluppare una capacità offensiva in grado di rivaleggiare con quella degli stati nazionali.

L’incidente rappresenta un duro monito per le aziende tecnologiche occidentali che operano in zone geopolitiche calde. Il rapporto suggerisce che “le capacità offensive contro i prodotti IT stranieri probabilmente emergono quando le aziende iniziano a fornire formazione locale”, favorendo inavvertitamente la ricerca offensiva estera.

Sebbene tali iniziative abbiano trainato le vendite per decenni, il panorama è cambiato. Come conclude il rapporto, “Mentre la Cina cerca di eliminare l’IT made in USA dal suo parco tecnologico, queste iniziative potrebbero presentare più rischi che benefici”.

L'articolo Da studenti Cisco a cyber-spie di Stato: la vera origine di Salt Typhoon proviene da Red Hot Cyber.

What might a laptop version of the Commodore 64 have looked like if one had been released by the late 1980s? This is the question that [Kevin Noki] tried to recently answer with a custom C64 laptop build.

While technically you could argue that Commodore’s SX-64 could be construed as a ‘portable’ system, its bulky format ensured that it was only portable in the sense that a 1980s CRT-based oscilloscope is also portable. Sadly, this turned out to be the last real attempt by Commodore to make a portable non-PC compatible system, with the ill-fated Commodore LCD project never making it out of development. We can, however, glean from this some design hints of what Commodore’s designers had in mind.

Interestingly, [Kevin] decided to instead use the Macintosh Portable as inspiration, with adaptations to make it look more like a breadbin C64. One could have argued that the C64C’s design would have worked better. Regardless, an enclosure was 3D printed, with parts glued together and metal dowels added for support.

For the guts, a custom keyboard with a new PCB and FDM printed keycaps was used, with a Raspberry Pi Pico as keyboard controller. We would here cue the jokes about how the keyboard controller is more powerful than a C64, but the real brains of this laptop come in the form of a Raspberry Pi 5 SBC for running the Vice C64 emulator, which blows a C64 even further out of the water.

This choice also means there’s no direct compatibility with genuine C64 peripherals, but a workaround involving many adaptors and more MCUs was implemented. Sadly, cartridge compatibility was sacrificed due to these complications. The resulting innards can be glimpsed in the above screenshot to give some idea of what the end result looks like.

Of course, this isn’t the first time a Commodore 64 laptop has been created; [Ben Heck] used a C64C mainboard and an original keyboard back in 2009. This meant direct compatibility with all peripherals, including cartridges. Hopefully, now that Commodore as a company has been revived, it will pick up on ideas like these, as an FPGA-based C64 or C128 laptop would be pretty rad.

Thanks to [fluffy] for the tip.

youtube.com/embed/H5QQ0ECfwyE?…

hackaday.com/2025/12/15/buildi…

È uscito Il fu Mattia Pascal — L’identità ai tempi degli algoritmi, il romanzo di Simone D’Agostino, che rilegge il classico di Pirandello alla luce dei meccanismi digitali contemporanei.

Non si tratta di una riscrittura letteraria in senso tradizionale, ma di una trasposizione concettuale: cosa accadrebbe oggi a un uomo che tentasse davvero di “sparire”? Non più dai luoghi fisici, ma dai sistemi che raccolgono dati, tracciano comportamenti e ricostruiscono identità

Nel romanzo, Mattia Pascal prova a cancellarsi dai dati, a diventare nessuno in un mondo in cui l’identità non è più soltanto ciò che dichiariamo, ma ciò che gli algoritmi inferiscono a partire dalle nostre tracce digitali. Una fuga che si scontra con una realtà nuova: oggi non si fugge dai luoghi, ma dalle infrastrutture che leggono, archiviano e correlano ogni gesto.

eBook Kindle amazon.it/dp/B0G4WMZBWQ
Edizione cartacea (copertina flessibile) amazon.it/dp/B0G4N65FXD

Il libro si muove tra thriller psicologico, riflessione tecnologica e dimensione filosofica, mantenendo però un centro profondamente umano. È anche, in modo intimo e laterale, una storia d’amore: forse la più difficile da raccontare quando l’identità non appartiene più solo alle persone, ma ai sistemi che le osservano.

Da qui prende avvio una riflessione più ampia su cosa significhi davvero “sparire” nell’epoca degli algoritmi.

Sparire nell’epoca degli algoritmi: quando l’identità continua anche senza di noi

Che cosa significa davvero “sparire” nell’epoca dei dati?

Non è una domanda romantica, né nostalgica.
Parla invece di una questione profondamente tecnica, culturale e umana, che riguarda il modo in cui oggi costruiamo e perdiamo identità.
Nell’epoca dei dati, anche la sparizione assume un significato diverso.

Nel mondo analogico, sparire era un gesto fisico: cambiare città, interrompere relazioni, lasciare luoghi. Le tracce erano fragili perché affidate alla memoria delle persone, ai documenti cartacei, al passaparola. Con il tempo, potevano consumarsi

Dal mondo analogico alle reti invisibili

Oggi il concetto stesso di sparizione è cambiato.

Non scompariamo più solo dai luoghi, ma soprattutto dalle reti invisibili che registrano, correlano e ricostruiscono ciò che facciamo. Anche quando non parliamo, quando non pubblichiamo, quando cerchiamo di sottrarci.

Ed è qui che nasce il cuore de Il fu Mattia Pascal — L’identità ai tempi degli algoritmi.

Mattia Pascal oggi: perché la sparizione non funzionerebbe più

Il Mattia Pascal di Pirandello poteva approfittare di un equivoco per diventare “fu”. Poteva dichiararsi morto e ricominciare, perché l’identità era ancora qualcosa di localizzato, fragile, negoziabile.

Il Mattia Pascal contemporaneo vive invece in un mondo in cui l’identità non coincide più con ciò che dichiariamo, ma con ciò che resta di noi nei sistemi. Algoritmi, profili e memorie digitali non dimenticano come dimenticano le persone.

Il protagonista del romanzo tenta di cancellare ogni traccia, di diventare nessuno. Ma scopre che, nel mondo digitale, la cancellazione è solo apparente. L’ombra lasciata online continua a seguirlo, a definirlo, a renderlo leggibile.

Dalla sorveglianza all’inferenza automatica

La questione non è l’osservazione diretta, ma il funzionamento stesso dei sistemi: ricostruiscono. Mettono insieme frammenti, inferiscono comportamenti, attribuiscono coerenze. Anche l’assenza diventa informazione.

Quando i sistemi iniziano a ricordare

Questo modello non nasce in modo spontaneo.

Sono soprattutto le grandi compagnie tecnologiche a operare questa registrazione sistematica.

Motori di ricerca, social network, piattaforme di advertising, servizi cloud e sistemi di intermediazione basano il proprio valore sulla capacità di registrare, conservare e correlare enormi quantità di dati comportamentali.

La selezione non avviene più al momento della raccolta: si registra tutto, rimandando la valutazione a un secondo tempo, quando i dati potranno essere analizzati, incrociati e utilizzati. Non è il singolo dato a essere decisivo, ma la sua persistenza e la possibilità di combinarlo con altri.

Nel libro, questo passaggio è affidato a un intermezzo dedicato al concetto di archivio e di memoria.

“Ogni società ha deciso cosa meritasse di essere conservato. Le tavolette d’argilla tenevano i conti dei raccolti; gli archivi medievali conservavano i contratti e i battesimi; gli archivi di Stato custodivano leggi e guerre. Oggi l’archivio non sceglie più: raccoglie tutto.

Non c’è differenza tra un capolavoro e un gesto minore. La foto di un tramonto e lo scontrino della spesa hanno lo stesso rango: entrambi vengono catalogati, copiati, sincronizzati.
Questo livellamento ha un effetto devastante: rende tutto potenzialmente significativo, e quindi niente più davvero importante.
L’archivio digitale è onnivoro. Non discrimina tra valore e rumore, tra memoria e scarto. Ed è proprio questa sua natura che cambia il nostro modo di vivere: non sappiamo più distinguere ciò che conta da ciò che è pura eccedenza.

Ci troviamo a nuotare in un oceano di tracce, incapaci di stabilire una gerarchia.

Il gesto minore – aprire e chiudere un’app, scorrere tre secondi in più su un feed, spostare il cursore – diventa informazione pari a un testamento o a una lettera d’addio. L’archivio li considera uguali. È la democrazia radicale del dato: tutto vale, tutto resta.

Il problema è che la nostra mente non è fatta per questa democrazia. Noi abbiamo bisogno di selezione, di oblio, di rilevanza. L’archivio, invece, accumula senza pietà. E nella massa crescente di gesti minori, rischiamo di perdere di vista la nostra storia”.

Fiducia, reputazione e coerenza statistica

Nei sistemi digitali contemporanei, la fiducia non nasce dalla conoscenza, ma dalla coerenza statistica.

Essere affidabili non significa essere veri, ma risultare sufficientemente prevedibili.

È su questa logica che si costruiscono punteggi, reputazioni e decisioni automatiche

Nel romanzo, questo meccanismo viene raccontato attraverso un intermezzo narrativo che descrive come la reputazione digitale venga costruita dai sistemi.

“Un tempo la reputazione era voce. Gente che parlava di te.
Ora è codice.
Non sei affidabile perché qualcuno ti conosce.
Sei affidabile perché una macchina ti ha incrociato abbastanza volte.
Hai un punteggio, anche se non lo sai.
C’è chi calcola quanto sei coerente tra una foto e l’altra.
Chi pesa la qualità dei tuoi amici.
Chi valuta da quanto tempo usi la stessa email.
Chi misura la tua stabilità in base alla posizione GPS.
Tutti questi indizi formano una metrica invisibile, ma reale.
Essere affidabili non significa essere veri.
Significa essere statisticamente credibili.
Quando provi a reinventarti, scopri che raccontarti non basta.
Devi essere riconoscibile nei pattern, un volto tra mille.
Chi sparisce perde il passato, ma anche la possibilità di costruire una reputazione futura.
Non puoi costruirla senza dati.
Per essere qualcuno oggi, serve una somma di indizi.
Serve coerenza. Frequenza. Persistenza.
Serve un algoritmo che dica “sì”.
Senza quello, sei opaco.
Senza quello, sei Mattia Pascal”.

L’identità come effetto collaterale

Ogni interazione digitale lascia una firma.

Non una firma evidente, ma una calligrafia: orari ricorrenti, scelte ripetute, abitudini che sembrano irrilevanti prese singolarmente, ma decisive se aggregate.

Persino i tool più anonimi – Tor, VPN, DNS resolver indipendenti – rivelano che stai cercando di non farti vedere. E questa è già un’informazione.

È il principio alla base dell’OSINT moderno: non cercare il dato perfetto, ma combinare quelli imperfetti.

Il libro non racconta una fuga contro la tecnologia, ma una fuga dentro la tecnologia. Una scomparsa che si scontra con un paradosso: più si tenta di sparire, più si diventa leggibili.

Ed è qui che emerge la dimensione più umana del racconto.

Anche nella fuga più silenziosa resta un bisogno primordiale: essere trovati, riconosciuti, testimoniati. Non come sorveglianza, ma come forma di esistenza.

Il romanzo lavora sulla tensione tra libertà e controllo, tra desiderio di sottrazione e necessità di essere visti. Racconta una scomparsa tipicamente contemporanea, in cui non basta sparire dal mondo per smettere di esistere nei dati.

Non è un manuale su come cancellarsi e nemmeno una denuncia tecnologica.

Si tratta invece di una riflessione narrativa su cosa significhi essere qualcuno quando l’identità continua anche oltre il corpo.

In questo senso, Il fu Mattia Pascal — L’identità ai tempi degli algoritmi non parla solo di tecnologia. Parla anche di una domanda antica, rimasta intatta nell’era degli algoritmi:

se nessuno ci trova più, esistiamo ancora?

Per chi desidera approfondire questi temi in forma narrativa, Il fu Mattia Pascal — L’identità ai tempi degli algoritmi è disponibile su Amazon.

eBook Kindle amazon.it/dp/B0G4WMZBWQ
Edizione cartacea (copertina flessibile) amazon.it/dp/B0G4N65FXD

L'articolo Sparire nell’epoca degli algoritmi: il nuovo Mattia Pascal tra dati, identità e sistemi che ci leggono proviene da Red Hot Cyber.

Una falla critica è stata individuata all’interno di Red Hat OpenShift GitOps, mettendo a rischio i cluster Kubernetes poiché consente agli utenti con autorizzazioni ridotte di acquisire il pieno controllo degli stessi.

OpenShift GitOps è progettato per automatizzare le distribuzioni utilizzando Git come unica fonte. Tuttavia, i ricercatori hanno scoperto che il modello di autorizzazione per la creazione di CR ArgoCD è troppo permissivo.

“Se riesci a creare CR ArgoCD, puoi sostanzialmente superare l’intero cluster”, afferma il rapporto sulla vulnerabilità .

Questa vulnerabilità, catalogata come CVE-2025-13888 e contraddistinta da un punteggio di gravità pari a 9.1, classificato come critico, permette agli amministratori di uno specifico spazio dei nomi di manipolare il sistema in modo da ottenere l’accesso come root all’intero cluster.

Le conseguenze sono:

• Concessione di privilegi: l’operatore crea un RoleBinding che collega l’istanza ArgoCD dell’aggressore allo spazio dei nomi di destinazione.
• Carichi di lavoro privilegiati: prendendo di mira uno spazio dei nomi con un vincolo di contesto di sicurezza (SCC) privilegiato, ad esempio predefinito, l’aggressore ottiene la possibilità di eseguire lavori privilegiati.
• Cluster Takeover: Il lavoro può essere eseguito anche sui nodi master, quindi sostanzialmente ho accesso root ai nodi master e posso prendere il controllo completo del cluster senza problemi.

La vulnerabilità risiede nel modo in cui l’operatore GitOps gestisce le risorse personalizzate (CR) di ArgoCD, trasformando di fatto una funzionalità amministrativa standard in un’arma di escalation dei privilegi.

Il vettore di attacco funziona manipolando il campo sourceNamespaces all’interno di un CR ArgoCD. Un amministratore dello spazio dei nomi, in genere limitato alla gestione della propria porzione isolata del cluster, può definire uno spazio dei nomi di destinazione (anche privilegiato come default) in questo campo.

Si consiglia vivamente agli amministratori di verificare le versioni degli operatori GitOps di OpenShift e di applicare immediatamente le patch di sicurezza più recenti. Limitare la possibilità di creare risorse personalizzate ArgoCD agli amministratori di cluster attendibili può anche fungere da mitigazione temporanea.

L'articolo Vulnerabilità critica in Red Hat OpenShift GitOps: rischio di takeover del cluster proviene da Red Hot Cyber.

Con l’espansione dell’Internet of Things (IoT), il numero di dispositivi connessi alle reti wireless è in continua crescita, sia nelle case che nelle aziende . Questo scenario rende la sicurezza delle reti wireless una priorità assoluta, poiché tali dispositivi rappresentano un bersaglio ideale per attacchi informatici .

Nei precedenti capitoli di questa rubrica abbiamo esplorato il lato offensivo della sicurezza Wi-Fi . Abbiamo visto quanto sia disarmante la semplicità con cui un attaccante, armato di strumenti open-source come Airodump-ng e Wireshark, possa mappare una rete, intercettare handshake crittografici e manipolare il traffico tramite attacchi Man-in-the-Middle .

Tuttavia, comprendere l’attacco è solo la metà dell’opera. La vera sfida per i CISO, i Network Administrator e i professionisti IT è costruire un’infrastruttura capace di resistere a queste intrusioni . Non stiamo parlando di una “soluzione magica” o di un singolo dispositivo hardware da installare nel rack, ma di un cambiamento radicale di mentalità . Dobbiamo abbandonare il concetto di “sicurezza perimetrale” (il classico muro che separa il “dentro” sicuro dal “fuori” insicuro) per abbracciare modelli più evoluti come la Defense-in-Depth (difesa in profondità) e le architetture Zero Trust . In questo approfondimento, analizzeremo come segmentazione, crittografia avanzata e intelligenza artificiale convergono per creare le moderne reti autodifensive .

La Segmentazione: Fermare i Movimenti Laterali

Se immaginiamo la nostra rete come un sottomarino, la segmentazione è l’equivalente dei compartimenti stagni. Se uno scafo viene perforato (un dispositivo viene compromesso), l’acqua (l’attaccante) deve rimanere confinata in quella sezione, senza poter affondare l’intera nave . Nel contesto Wi-Fi, la tecnica regina per implementare questa logica è l’uso delle VLAN (Virtual Local Area Network) .

Oltre la rete piatta

In molte implementazioni domestiche o di piccole imprese, la rete è “piatta” (Flat Network) . Questo significa che tutti i dispositivi – dal server con i dati finanziari, al laptop del CEO, fino alla lampadina smart da 10 euro – condividono lo stesso dominio di broadcast . Ricordate l’uso di netdiscover o nmap che abbiamo analizzato nell’articolo precedente? https://www.redhotcyber.com/post/anatomia-di-una-violazione-wi-fi-dalla-pre-connessione-alla-difesa-attiva/ In una rete piatta, una volta che l’attaccante ha violato la password Wi-Fi (o ha trovato una porta Ethernet libera), ha visibilità immediata su ogni host . Può lanciare attacchi ARP Spoofing contro chiunque .

Creare “Zone di Fiducia”

La segmentazione permette di suddividere l’infrastruttura in sezioni logiche isolate, riducendo drasticamente la superficie di attacco . Una configurazione professionale standard prevede almeno tre macro-segmenti:

1. VLAN Corporate (Blindata): Qui risiedono i dipendenti e gli asset critici . L’accesso è protetto da protocolli 802.1X (WPA-Enterprise) che richiedono certificati digitali o credenziali di dominio, non una semplice password condivisa .
2. VLAN Guest (Isolata): Destinata a visitatori e fornitori. Questa rete deve fornire solo accesso a Internet (spesso limitato in banda e filtrato nei contenuti) e deve essere completamente isolata dalla LAN interna . I dispositivi connessi qui non devono potersi vedere tra loro (Client Isolation) .
3. VLAN IoT (Zero Trust): Questa è oggi la frontiera più critica . I dispositivi IoT (telecamere, sensori, smart TV) sono spesso non aggiornabili e intrinsecamente vulnerabili . Isolarli in una VLAN dedicata impedisce che un sensore termico compromesso diventi il “ponte” per attaccare il server aziendale .

Esempio di architettura segmentata: le VLAN separano logicamente i dispositivi IoT e Guest dalle risorse critiche, impedendo movimenti laterali non autorizzati.
L’immagine sopra illustra come un gateway centrale gestisca il traffico tra VLAN diverse applicando regole di firewalling rigorose: il traffico dalla VLAN IoT verso la VLAN Corporate deve essere bloccato di default .

Defense-in-Depth: L’architettura a Cipolla

La segmentazione, per quanto potente, non è sufficiente da sola . Un attaccante determinato potrebbe trovare modi per saltare da una VLAN all’altra (VLAN Hopping) se gli switch non sono configurati correttamente . Qui entra in gioco la strategia di Difesa Multilivello (Defense-in-Depth) .

Questo approccio si basa sulla ridondanza dei controlli di sicurezza. Se una barriera fallisce, ne subentra un’altra immediatamente successiva . Possiamo visualizzare questa strategia come una serie di strati concentrici:

• Livello Perimetrale: Firewall Next-Generation (NGFW) che filtrano il traffico in ingresso e uscita, bloccando connessioni verso botnet note .
• Livello di Rete: Sistemi di crittografia (WPA3/VPN) per proteggere i dati in transito e IDS (Intrusion Detection Systems) per monitorare il traffico interno .
• Livello Endpoint: Soluzioni EDR (Endpoint Detection and Response) installate sui singoli laptop e server, capaci di bloccare processi malevoli anche se la rete è stata superata .
• Livello Inganno (Deception): L’uso di Honeypot (che vedremo più avanti) per attirare gli attaccanti .

La forza della difesa multilivello sta nella sua resilienza . Mentre un firewall tradizionale opera con regole statiche (“Blocca porta 80”), un sistema integrato multilivello sfrutta l’Intelligenza Artificiale per correlare eventi apparentemente slegati tra i vari strati, reagendo in modo dinamico .

Protocolli e Sfide: WPA2, AES/TKIP e WPA3

Se la segmentazione protegge l’interno della rete, la crittografia è il guardiano del cancello .

Protocolli di Sicurezza Attuali: WPA e WPA2

La maggior parte delle reti wireless utilizza protocolli di crittografia come WEP, WPA e WPA2, con WPA e WPA2 che dominano per la loro robustezza .

• WPA/WPA2: Considerati altamente sicuri grazie all’utilizzo di algoritmi avanzati come AES (Advanced Encryption Standard) e TKIP (Temporal Key Integrity Protocol) .
• La sicurezza si basa sulla difficoltà computazionale di risolvere complesse equazioni matematiche .

Tuttavia, con l’avanzamento tecnologico, anche questi protocolli potrebbero essere vulnerabili . La debolezza principale del WPA2-Personal (quello con la password condivisa) risiede nel “4-Way Handshake” . Come abbiamo dimostrato nell’articolo sugli attacchi, un hacker può catturare questo handshake e tentare di indovinare la password nel proprio laboratorio, testando milioni di combinazioni al secondo senza che la rete bersaglio se ne accorga .

WPA3 e SAE: La Nuova Frontiera

Oggi, WPA3 (standardizzato dalla Wi-Fi Alliance ”wi-fi.org/”)rappresenta la scelta obbligata per qualsiasi nuova implementazione . Risolve il problema alla radice introducendo il protocollo SAE (Simultaneous Authentication of Equals), basato sul metodo di scambio chiavi “Dragonfly” .

I vantaggi tecnici del SAE:

• Resistenza ai dizionari offline: Con WPA3, un attaccante non può portare via i dati per crackarli offline . Ogni tentativo di indovinare la password richiede un’interazione attiva con l’Access Point . Questo significa che l’attaccante deve essere fisicamente presente e che la rete può rilevare e bloccare i tentativi ripetuti .
• Forward Secrecy: Anche se un attaccante riuscisse a scoprire la password della rete in futuro, non potrà decifrare il traffico catturato nel passato . Ogni sessione ha chiavi effimere uniche .

Tabella di Confronto

Il rischio della “Transition Mode” e la vulnerabilità “Dragonblood”

Nonostante la superiorità tecnica, l’adozione di WPA3 affronta ostacoli:

1. Hardware Legacy: Molti dispositivi (vecchie stampanti, terminali di magazzino, sensori medici) non supportano WPA3 .
2. Transition Mode: Per ovviare a ciò, i produttori hanno introdotto la modalità WPA3-Transition, che permette la connessione sia via WPA2 che WPA3 . Attenzione: Questa configurazione è un compromesso di sicurezza. Un attaccante esperto può eseguire un attacco di Downgrade, forzando un client moderno a disconnettersi e riconnettersi utilizzando il protocollo WPA2 più debole .
3. Vulnerabilità Dragonblood: Il protocollo WPA3 stesso, sebbene più sicuro, non è perfetto . Vulnerabilità come l’handshake Dragonblood possono essere sfruttate . Si tratta di una debolezza nell’implementazione dell’handshake che potrebbe essere utilizzata per aggirare le protezioni di WPA3 .

Minacce Emergenti: AI e Quantum Computing

Il panorama della sicurezza sta cambiando a causa di due fattori rivoluzionari.

L’Impatto dell’Intelligenza Artificiale (IA)

L’uso dell’intelligenza artificiale (IA) e del machine learning (ML) sta trasformando il panorama della sicurezza informatica, sia per i difensori che per gli attaccanti .

• Per gli aggressori: IA e ML possono ridurre il costo computazionale necessario per eseguire attacchi di forza bruta . Il cracking delle password potrebbe diventare più veloce ed efficiente .

Il Potenziale dei Computer Quantistici

Sebbene i computer quantistici siano ancora in una fase di sviluppo iniziale, il loro potenziale è significativo .

• Capacità: Possono eseguire calcoli complessi in tempi significativamente più brevi rispetto ai computer classici .
• Minaccia ai Protocolli: Rappresentano una minaccia per la sicurezza di protocolli come WPA/WPA2, che si basano su problemi matematici difficili da risolvere con i computer tradizionali .

È quindi fondamentale sviluppare protocolli di crittografia post-quantistici . L’obiettivo è garantire che i dati rimangano sicuri anche contro attacchi basati su capacità computazionali avanzate . La ricerca è in corso, ma questi protocolli non sono ancora ampiamente implementati .

Gestione Identità: MFA e AI Comportamentale

Anche la crittografia più robusta fallisce se la chiave d’accesso viene rubata tramite phishing o social engineering . Per questo motivo, la gestione dell’identità (Identity Management) è diventata una componente critica .

Oltre la password: L’MFA

L’autenticazione a più fattori (MFA) non è più un optional . Nelle reti aziendali (WPA-Enterprise), l’accesso non dovrebbe mai basarsi solo su username e password . È necessario integrare un secondo fattore:

• Una notifica Push su app mobile .
• Un token hardware (chiavetta FIDO2) .
• Un certificato digitale installato sul dispositivo .

AI Comportamentale (UEBA)

Qui entra in gioco l’Intelligenza Artificiale, trasformando la gestione accessi da statica a dinamica . I moderni sistemi di UEBA (User and Entity Behavior Analytics) creano un profilo base per ogni utente e dispositivo . Esempio pratico: Il sistema sa che l’utente “Mario Rossi” si collega solitamente tra le 08:00 e le 19:00, dall’ufficio di Roma, utilizzando un laptop Dell e scambiando circa 500MB di dati . Se improvvisamente le credenziali di Mario vengono usate alle 03:00 di notte, da un indirizzo IP associato alla Russia, per scaricare 10GB di dati, il sistema riconosce l’anomalia comportamentale . In una rete autodifensiva, l’AI reagisce istantaneamente: non si limita a loggare l’evento, ma blocca la sessione o mette il dispositivo in quarantena (VLAN limitata) richiedendo una ri-autenticazione forte .

Limiti Hardware e Architetture Ibride (Edge/Cloud)

Implementare crittografia avanzata, ispezione profonda dei pacchetti e analisi AI in tempo reale richiede risorse. Questo ci porta a un nodo cruciale: l’hardware. I router consumer o di fascia bassa (SOHO) hanno CPU e RAM limitate. Chiedere a questi dispositivi di decifrare traffico WPA3 ad alta velocità e analizzarlo con algoritmi di Machine Learning porterebbe al collasso della rete (collo di bottiglia).

La risposta dell’industria è l’adozione di architetture ibride Edge-Cloud.

• L’Edge (Il Bordo): Gli Access Point e gli switch moderni diventano più intelligenti. Eseguono un’analisi preliminare “leggera” direttamente sul traffico per decisioni immediate (es. bloccare un attacco DDoS o un ARP spoofing palese). Questo riduce la latenza a zero.
• Il Cloud: I metadati del traffico (non i dati sensibili) vengono inviati al cloud, dove cluster di server potentissimi eseguono l’analisi comportamentale pesante, confrontando i dati con le minacce globali (Threat Intelligence) e aggiornando le regole di sicurezza degli apparati Edge.

Architettura ibrida Edge-Cloud: l’elaborazione avviene vicino alla fonte dei dati (Edge) per ridurre la latenza a zero, mentre il Cloud gestisce l’analisi storica e pesante.
Tuttavia, questo modello introduce la sfida della latenza. Ogni “salto” verso il cloud introduce millisecondi di ritardo. La progettazione della rete deve quindi bilanciare accuratamente cosa viene elaborato localmente e cosa in remoto.

Difesa Attiva: Honeypot e IDS

Finora abbiamo parlato di difese preventive. Ma cosa succede se l’attaccante è già dentro? Qui passiamo alla “Difesa Attiva”, utilizzando sistemi che non solo osservano, ma ingannano.

IDS e IPS: Le sentinelle

Gli Intrusion Detection Systems (IDS) e Intrusion Prevention Systems (IPS) sono la naturale evoluzione di strumenti come Wireshark. Invece di richiedere un analista umano che guardi i pacchetti, l’IPS analizza il flusso 24/7. Grazie all’AI, gli IPS moderni hanno superato il problema storico dei “falsi positivi”. Riescono a distinguere un trasferimento file legittimo massivo da un tentativo di esfiltrazione dati low-and-slow (lento e basso), progettato per sfuggire ai controlli tradizionali.

Honeypot: La trappola

Una delle tecniche più affascinanti della difesa multilivello è l’uso degli Honeypot (letteralmente “barattoli di miele”). Un honeypot è un sistema (un server, un PC, o anche un finto sensore IoT) deliberatamente vulnerabile e non protetto, posizionato in una VLAN isolata e monitorata.

• La logica è spietata: Poiché nessun dipendente legittimo ha motivo di connettersi a quella macchina, qualsiasi traffico diretto verso l’honeypot è, per definizione, ostile.
• Vantaggio: Genera allarmi ad altissima fedeltà (zero falsi positivi).
• Intelligence: Permette di osservare l’attaccante mentre crede di agire indisturbato, raccogliendo dati sulle sue tecniche (TTPs) per blindare il resto della rete.

Strategie di Autodifesa Proattiva

Per contrastare le minacce emergenti e proteggere le reti wireless, è necessario adottare strategie diversificate e proattive:

• Adattatori di rete avanzati: Migliorare l’hardware per rilevare vulnerabilità in tempo reale.
• Modelli di elaborazione affidabile: Integrare meccanismi adattivi che rispondano automaticamente a tentativi di dirottamento.
• Educazione e consapevolezza: Formare gli utenti su buone pratiche di sicurezza, come la scelta di password complesse e l’aggiornamento regolare del firmware.

Conclusioni e Futuro

La sicurezza ha inevitabilmente un costo. Richiede investimenti in hardware (AP WPA3, Firewall), software (licenze AI/Cloud) e competenze umane. Per le piccole imprese, questo può sembrare un onere insostenibile. Tuttavia, la democratizzazione delle tecnologie cloud sta rendendo le reti autodifensive accessibili anche alle PMI. La domanda che ogni manager deve porsi non è “quanto costa la sicurezza?”, ma “quanto costa fermare l’azienda per tre giorni a causa di un ransomware?”.

L’adozione massiccia della tecnologia wireless, alimentata dall’IoT, richiede una sicurezza delle reti wireless all’avanguardia . Mentre IA, ML e computer quantistici possono potenzialmente compromettere i protocolli di sicurezza esistenti, è essenziale continuare a sviluppare soluzioni resistenti e strategie di autodifesa proattive .

La sicurezza nelle reti wireless non è un obiettivo statico, ma un processo dinamico che richiede innovazione continua per stare al passo con le minacce emergenti. Guardando all’orizzonte, la convergenza tra Wi-Fi 7 e 5G porterà a scenari ancora più evoluti. Con tecnologie come il Multi-Link Operation (MLO) del Wi-Fi 7, la rete potrà spostare dinamicamente i flussi critici su frequenze non congestionate o non sotto attacco, garantendo una resilienza operativa mai vista prima. La rete del futuro non sarà solo un tubo per trasportare dati, ma un sistema immunitario digitale capace di rilevare, isolare e neutralizzare le minacce autonomamente.

L'articolo Sicurezza Wi-Fi Multilivello: La Guida Completa a Segmentazione, WPA3 e Difesa Attiva proviene da Red Hot Cyber.

Gli autori delle minacce hanno iniziato a sfruttare attivamente le vulnerabilità di alta gravità, poco dopo che il fornitore le aveva rese pubbliche, al fine di aggirare l’autenticazione su dispositivi FortiGate.

Un recente rapporto di Arctic Wolf rivela che, dal 12 dicembre 2025, queste vulnerabilità vengono sfruttate dagli aggressori per ottenere l’accesso come amministratori attraverso il Single Sign-On (SSO) e rubare configurazioni di sistema sensibili.

Le vulnerabilità CVE-2025-59718 e CVE-2025-59719, con un punteggio CVSS critico di 9,1, sono nel mirino degli attacchi. Di fatto, senza chiave, un aggressore non autenticato può entrare dalla porta principale sfruttando tali falle, che permettono di eludere le protezioni di accesso SSO grazie a messaggi SAML falsificati.

I ricercatori di Arctic Wolf hanno evidenziato: “Tuttavia, quando gli amministratori registrano i dispositivi utilizzando FortiCare tramite la GUI, FortiCloud SSO viene abilitato al momento della registrazione, a meno che l’impostazione ‘Consenti accesso amministrativo tramite FortiCloud SSO’ non sia disabilitata nella pagina di registrazione”.

I tentativi di intrusione osservati da Arctic Wolf seguono uno schema ben preciso. Gli aggressori provengono da provider di hosting specifici, tra cui The Constant Company LLC, Bl Networks e Kaopu Cloud Hk Limited, e prendono di mira direttamente l’account amministratore.

Una volta all’interno, gli aggressori si sono subito dedicati al furto di dati. “In seguito ad accessi SSO dannosi, le configurazioni venivano esportate agli stessi indirizzi IP tramite l’interfaccia utente grafica”. Questa esfiltrazione è catastrofica perché le configurazioni del firewall contengono spesso credenziali hash per gli utenti VPN e altri account locali.

Si consiglia agli amministratori di effettuare immediatamente l’aggiornamento alle ultime versioni corrette (ad esempio, FortiOS 7.6.4, 7.4.9, 7.2.12 o 7.0.18). Per coloro che non possono applicare immediatamente la patch, esiste una soluzione alternativa fondamentale. È possibile disabilitare la funzionalità vulnerabile tramite l’interfaccia a riga di comando (CLI):

L'articolo CVE-2025-59718 e CVE-2025-59719 su FortiGate in sfruttamento attivo proviene da Red Hot Cyber.

Nel panorama nazionale delle manifestazioni dedicate alla tecnologia, si consolida un evento focalizzato sul comparto italiano. Il baricentro si sposta a Rimini, storicamente snodo strategico sin dall’epoca romana e oggi crocevia dell’innovazione.

Sulla Riviera romagnola, tradizionalmente associata all’economia turistica, si registra un cambio di paradigma. La città amplia la sua vocazione e investe con decisione nel digitale, puntando ad assumere un ruolo da protagonista nell’ecosistema tecnologico nazionale. L’obiettivo è diversificare la propria offerta oltre la stagionalità balneare.
Foto: Carlo Denza

IL PALACONGRESSI: ECOSISTEMA PER IL NETWORKING

Novembre 2025, nei giorni 11 e 12 al Palacongressi di Rimini, si è svolta la terza edizione di IT’S WEEK. L’evento è stato organizzato da La Tech Made in Italy, con il patrocinio del Ministero delle Imprese e del Made in Italy e del Ministero degli Affari Esteri e della Cooperazione Internazionale.

L’appuntamento è stato dedicato alle software house, agli innovatori e alle PMI, con l’obiettivo di promuovere la tecnologia nostrana e diffondere la cultura digitale tra le imprese. Un evento che pone l’accento sul tema della sovranità digitale nazionale.

Il Palacongressi, caratterizzato dalla struttura a conchiglia, ha ospitato la manifestazione garantendo spazi funzionali. La sua moderna architettura ha permesso una gestione fluida dei flussi: dalla Sala Plenaria agli spazi dedicati ai workshop e agli stand-up. La logistica si è rivelata efficace per favorire il networking B2B tra i partecipanti.
Foto: Carlo Denza

I PILASTRI TEMATICI: DALL’AI ALLA CYBERSECURITY

I temi della manifestazione, strutturata in modalità ibrida con sessioni anche online, hanno coperto diverse verticalità del settore:

Intelligenza Artificiale e Cybersecurity: Pilastri dell’attuale scenario tecnologico, affrontati attraverso l’analisi di casi studio e applicazioni pratiche per le aziende.

Disability & Inclusion: Un argomento trasversale che ha trovato ampio spazio nel programma. Ha differenziato l’evento da altri format tecnici. L’inclusione digitale è stata trattata analizzando soluzioni per l’abbattimento delle barriere tecnologiche.

Sovranità digitale: Il focus si è concentrato sullo sviluppo del tech “Made in Italy” come asset nazionale, propedeutico a un posizionamento competitivo nel mercato europeo.

Mobility: Analisi dell’evoluzione del settore automotive attraverso la tecnologia italiana, con approfondimenti su elettrificazione e guida autonoma.

Sostenibilità: Sessioni dedicate alle PMI per presentare software e soluzioni conformi alle normative ambientali e ai criteri ESG (Environmental, Social, Governance)
Foto: Carlo Denza

LA VISIONE DI MAX BRIGIDA

Figura chiave e organizzatore della manifestazione è Max Brigida. Ideatore del format, il quale ha delineato la strategia alla base di IT’S WEEK. Interpellato da Red Hot Cyber sulla genesi del progetto, ha dichiarato:

“Ho lavorato nel mondo del tech e dello sviluppo software per quasi tutta la mia carriera professionale. In Italia abbiamo sempre fatto grandi cose con i migliori inventori e sviluppi tecnologici. Tuttavia, abbiamo sempre parlato di food, moda, design, auto, ma mai di tech. IT’S WEEK vuole diventare un punto d’incontro, un ecosistema dove le aziende italiane ed estere vengano a scoprire e conoscere il valore e il talento italiano nel campo tech!”

OSPITI E KEYNOTE SPEAKER: TRA RICERCA E MERCATO

Il palco della Plenaria ha ospitato un ventaglio eterogeneo di relatori, oltre 100 Speaker che hanno spaziato dalla ricerca accademica all’imprenditoria innovativa. Questo ha offerto una visione sistemica del settore.

Tra le voci più autorevoli in ambito scientifico, il Prof. Massimo Buscema, Direttore del Semeion Centro Ricerche, ha tenuto una lectio sull’AI Investigativa e la previsione dei “Cigni Neri” nei sistemi digitali complessi.
Foto: Carlo Denza
Sul fronte della strategia d’impresa e della governance sono intervenuti Filipe Teixeira, CEO & Founder di AltermAInd, che ha analizzato l’evoluzione delle competenze umane nell’era dell’intelligenza artificiale, e Lucia Chierchia, Managing Partner di Gellify, che ha portato la sua esperienza nella gestione di ecosistemi di Open Innovation e-business digitali.

Particolarmente significativa la testimonianza di Maicol Verzotto, ex tuffatore olimpico oggi CEO di Soource AI. Ha raccontato la sua transizione “dal trampolino al tech” nel keynote Anatomia di un pivot, evidenziando i parallelismi tra disciplina sportiva e startup.
Foto Carlo Denza
Spazio anche alle verticalità più avanzate. Raffaele Salvemini, CEO di BrainArt & Vibre, ha esplorato le frontiere del Neurotech e delle interfacce cervello-computer (BCI), sintetizzando così la sua visione:

“Neurotech: tutto nasce nella mente, è il luogo in cui il possibile prende forma e il futuro comincia.”

A chiudere il cerchio sulle applicazioni di mercato è stato Antonio Perfido, Co-Founder di The Digital Box, che ha delineato lo stato dell’arte delle tecnologie di marketing:

“MarTech Made in Italy che funziona: automazione, AI e strategia per vendere di più e meglio.”

GLI ADA LOVELACE AWARDS E L’IMPEGNO SOCIALE

Momento centrale della manifestazione è stata la cerimonia di consegna degli Ada Lovelace Awards. Il riconoscimento, voluto da Max Brigida per valorizzare le eccellenze che si distinguono per risultati e innovazione, è stato assegnato quest’anno a OptiPro. L’azienda è stata premiata per aver sviluppato il “miglior software per l’innovazione e l’ottimizzazione dei processi”.

L’evento ha confermato anche una forte vocazione inclusiva. Un’attenzione particolare è stata riservata al tema della disabilità e all’impatto sociale delle tecnologie, con la devoluzione di una parte dei ricavati all’AIPD (Associazione Italiana Persone con Sindrome di Down).
Foto: Carlo Denza

VERSO LA QUARTA EDIZIONE

Grazie alla formula ibrida che ha ampliato la platea di riferimento, IT’S WEEK si posiziona come appuntamento di rilievo per gli stakeholder della tecnologia italiana. L’evento supera la celebrazione delle eccellenze per generare opportunità di business e collaborazione tra manager, istituzioni e Pubblica Amministrazione.

Rimini conferma così la volontà di evolversi: non più solo capitale delle vacanze, ma distretto in crescita per il digitale italiano. L’obiettivo è consolidare l’ecosistema dell’innovazione e valorizzare l’ingegno tecnico nazionale.
Foto: Carlo Denza

L'articolo It’s Week: Rimini Si Impone Come Nuovo Hub Della Sovranità Digitale E Del Tech Made In Italy proviene da Red Hot Cyber.

[Sam Ben-Yaakov] has another lecture online that dives deep into the physics of electronic processes. This time, the subject is magnetic transformers. You probably know that the ratio of current in the primary and secondary is the same (ideally) as the ratio of the turns in each winding. But do you know why? You will after watching the video.

Actually, you will after watching the first two minutes of the video. If you make it to the 44-minute mark, you’ll learn more about Faraday’s law, conservation of energy, and Lenz’s law.

One of our favorite things about the Internet is that you can find great lectures like these online, both from university programs and from individuals like [Dr. Ben-Yaakov]. There was a time when you would have had to enroll in a college to get the kind of education you can just browse through now.

Too much math and technical detail for you? We get it. You don’t need to understand all of this to use a transformer. But if you want to understand the math and the physics behind the things we do, nothing is stopping you. Even if you need to brush up on math, there are plenty of similar lectures to learn about that online, too.

Want a university class that is more practical? We hear you. Prefer simulation to math or solder? We hear you, too.

youtube.com/embed/g7sisyNJk9I?…

hackaday.com/2025/12/15/magnet…

Ever wanted to just plug something in and conveniently read the hostname and IP addresses of a headless board like a Raspberry Pi? Chances are, a free USB port is more accessible than digging up a monitor and keyboard, and that’s where [C4KEW4LK]’s rpi_usb_ip_display comes in. Plug it into a free USB port, and a few moments later, read the built-in display. Handy!

The device is an RP2350 board and a 1.47″ Waveshare LCD, with a simple 3D-printed enclosure. It displays hostname, WiFi interface, Ethernet interface, and whatever others it can identify. There isn’t even a button to push; just plug it in and let it run.

Here’s how it works: once plugged in, the board identifies itself as a USB keyboard and a USB serial port. Then it launches a terminal with Ctrl-Alt-T, and from there it types and runs commands to do the following:

1. Find the serial port that the RP2350 board just created.
2. Get the parsed outputs of hostname, ip -o -4 addr show dev wlan0, ip -o -4 addr show dev eth0, and ip -o -4 addr show to gather up data on active interfaces.
3. Send that information out the serial port to the RP2350 board.
4. Display the information on the LCD.
5. Update periodically.

The only catch is that the host system must be able to respond to launching a new terminal with Ctrl-Alt-T, which typically means the host must have someone logged in.

It’s a pretty nifty little tool, and its operation might remind you, in concept, of how BadUSB attacks happen: a piece of hardware, once plugged into a host, identifies itself to the host as something other than what it appears to be. Then it proceeds to input and execute actions. But in this case, it’s not at all malicious, just convenient and awfully cute.

hackaday.com/2025/12/15/plug-i…