With the availability of increasingly cheaper equipment, welding has become far more accessible these days. While this is definitely a plus, it also comes with the elephant-sized asterisk that as with any tool you absolutely must take into account basic safety precautions for yourself and others. This extends to the way you prepare metal for welding, with [Dr. Bernard], AKA [ChubbyEmu] recently joining forces with [styropyro] to highlight the risks of cleaning metal with brake cleaner prior to welding.

Much like with common household chemicals used for cleaning, such as bleach and ammonia, improper use of these can produce e.g. chlorine gas, which while harmful is generally not lethal. Things get much more serious with brake cleaner, containing tetrachloroethylene. As explained in the video, getting brake cleaner on a rusty part to clean it and then exposing it to the intensive energies of the welding process suffices to create phosgene.

Phosgene strongly interacts with fats, proteins and DNA in the body. (Credit: Chubbyemu, YouTube)
Used as a devastating chemical weapon during World War I, phosgene does not dissolve or otherwise noticeably reduce in potency after it enters the lungs. Instead it clings to surfaces where it attacks and destroys proteins and DNA until the affected person typically dies from disruption of the lung’s blood-air barrier and subsequent pulmonary edema. Effectively your lungs fill with liquid, your blood oxygen saturation drops and at some point your body calls it quits.

The video is based on a real case study, where in 1982 a previously healthy 23-year old man accidentally inhaled phosgene, was admitted to the ER before being rushed to the ICU. Over the course of six days he deteriorated, developed a fever and passed away after his heart stopped pumping properly due to ventricular fibrillation.

Basically, if you are off minding your own business and suddenly smell something like musty hay or freshly cut grass when nobody is mowing the lawn, there’s a chance you just inhaled phosgene. Unlike in the video, where the victim keeps welding and waits a long time before going to the ER, immediate treatment can at least give you a shot at recovery if the exposure was mild enough.

As with laser safety, prevention is the best way to stay healthy. In the case of welding it’s essential to fully cover up your skin as there is intense UV radiation from the work area, protect your eyes with a quality welding mask and ideally wear a respirator especially when welding indoors. Show your eyes, lungs and skin how much you love them by taking good care of them — and please don’t use brake cleaner to prep parts for welding.

youtube.com/embed/rp6JyEdfjAQ?…

hackaday.com/2025/12/17/the-le…

Introduction

In March 2025, we discovered Operation ForumTroll, a series of sophisticated cyberattacks exploiting the CVE-2025-2783 vulnerability in Google Chrome. We previously detailed the malicious implants used in the operation: the LeetAgent backdoor and the complex spyware Dante, developed by Memento Labs (formerly Hacking Team). However, the attackers behind this operation didn’t stop at their spring campaign and have continued to infect targets within the Russian Federation.

Emails posing as a scientific library

In October 2025, just days before we presented our report detailing the ForumTroll APT group’s attack at the Security Analyst Summit, we detected a new targeted phishing campaign by the same group. However, while the spring cyberattacks focused on organizations, the fall campaign honed in on specific individuals: scholars in the field of political science, international relations, and global economics, working at major Russian universities and research institutions.

The emails received by the victims were sent from the address support@e-library[.]wiki. The campaign purported to be from the scientific electronic library, eLibrary, whose legitimate website is elibrary.ru. The phishing emails contained a malicious link in the format: https://e-library[.]wiki/elib/wiki.php?id=<8 pseudorandom letters and digits>. Recipients were prompted to click the link to download a plagiarism report. Clicking that link triggered the download of an archive file. The filename was personalized, using the victim’s own name in the format: <LastName>_<FirstName>_<Patronymic>.zip.

A well-prepared attack

The attackers did their homework before sending out the phishing emails. The malicious domain, e-library[.]wiki, was registered back in March 2025, over six months before the email campaign started. This was likely done to build the domain’s reputation, as sending emails from a suspicious, newly registered domain is a major red flag for spam filters.

Furthermore, the attackers placed a copy of the legitimate eLibrary homepage on https://e-library[.]wiki. According to the information on the page, they accessed the legitimate website from the IP address 193.65.18[.]14 back in December 2024.

A screenshot of the malicious site elements showing the IP address and initial session date

The attackers also carefully personalized the phishing emails for their targets, specific professionals in the field. As mentioned above, the downloaded archive was named with the victim’s last name, first name, and patronymic.

Another noteworthy technique was the attacker’s effort to hinder security analysis by restricting repeat downloads. When we attempted to download the archive from the malicious site, we received a message in Russian, indicating the download link was likely for one-time use only:

The message that was displayed when we attempted to download the archive

Our investigation found that the malicious site displayed a different message if the download was attempted from a non-Windows device. In that case, it prompted the user to try again from a Windows computer.

The message that was displayed when we attempted to download the archive from a non-Windows OS

The malicious archive

The malicious archives downloaded via the email links contained the following:

• A malicious shortcut file named after the victim: <LastName>_<FirstName>_<Patronymic>.lnk;
• A .Thumbs directory containing approximately 100 image files with names in Russian. These images were not used during the infection process and were likely added to make the archives appear less suspicious to security solutions.

A portion of the .Thumbs directory contents

When the user clicked the shortcut, it ran a PowerShell script. The script’s primary purpose was to download and execute a PowerShell-based payload from a malicious server.

The script that was launched by opening the shortcut

The downloaded payload then performed the following actions:

• Contacted a URL in the format: https://e-library[.]wiki/elib/query.php?id=<8 pseudorandom letters and digits>&key=<32 hexadecimal characters> to retrieve the final payload, a DLL file.
• Saved the downloaded file to %localappdata%\Microsoft\Windows\Explorer\iconcache_<4 pseudorandom digits>.dll.
• Established persistence for the payload using COM Hijacking. This involved writing the path to the DLL file into the registry key HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32. Notably, the attackers had used that same technique in their spring attacks.
• Downloaded a decoy PDF from a URL in the format: https://e-library[.]wiki/pdf/<8 pseudorandom letters and digits>.pdf. This PDF was saved to the user’s Downloads folder with a filename in the format: <LastName>_<FirstName>_<Patronymic>.pdf and then opened automatically.

The decoy PDF contained no valuable information. It was merely a blurred report generated by a Russian plagiarism-checking system.

A screenshot of a page from the downloaded report

At the time of our investigation, the links for downloading the final payloads didn’t work. Attempting to access them returned error messages in English: “You are already blocked…” or “You have been bad ended” (sic). This likely indicates the use of a protective mechanism to prevent payloads from being downloaded more than once. Despite this, we managed to obtain and analyze the final payload.

The final payload: the Tuoni framework

The DLL file deployed to infected devices proved to be an OLLVM-obfuscated loader, which we described in our previous report on Operation ForumTroll. However, while this loader previously delivered rare implants like LeetAgent and Dante, this time the attackers opted for a better-known commercial red teaming framework: Tuoni. Portions of the Tuoni code are publicly available on GitHub. By deploying this tool, the attackers gained remote access to the victim’s device along with other capabilities for further system compromise.

As in the previous campaign, the attackers used fastly.net as C2 servers.

Conclusion

The cyberattacks carried out by the ForumTroll APT group in the spring and fall of 2025 share significant similarities. In both campaigns, infection began with targeted phishing emails, and persistence for the malicious implants was achieved with the COM Hijacking technique. The same loader was used to deploy the implants both in the spring and the fall.

Despite these similarities, the fall series of attacks cannot be considered as technically sophisticated as the spring campaign. In the spring, the ForumTroll APT group exploited zero-day vulnerabilities to infect systems. By contrast, the autumn attacks relied entirely on social engineering, counting on victims not only clicking the malicious link but also downloading the archive and launching the shortcut file. Furthermore, the malware used in the fall campaign, the Tuoni framework, is less rare.

ForumTroll has been targeting organizations and individuals in Russia and Belarus since at least 2022. Given this lengthy timeline, it is likely this APT group will continue to target entities and individuals of interest within these two countries. We believe that investigating ForumTroll’s potential future campaigns will allow us to shed light on shadowy malicious implants created by commercial developers – much as we did with the discovery of the Dante spyware.

Indicators of compromise

e-library[.]wiki
perf-service-clients2.global.ssl.fastly[.]net
bus-pod-tenant.global.ssl.fastly[.]net
status-portal-api.global.ssl.fastly[.]net

securelist.com/operation-forum…

Non è l’a prima colta che i criminal hacker commettono degli errori e non sdarà l’ultima.

Il gruppo di hacktivisti filorusso CyberVolk ha lanciato il servizio RaaS VolkLocker (noto anche come CyberVolk 2.x). Tuttavia, i ricercatori di sicurezza hanno scoperto che gli sviluppatori del malware hanno commesso diversi errori che consentono alle vittime di recuperare gratuitamente i propri file.

I ricercatori di SentinelOne riferiscono che gli aggressori hanno incorporato la chiave di crittografia master direttamente nel binario del malware e l’hanno salvata come file di testo normale nella cartella %TEMP%.

Il file si chiama system_backup.key e tutto il necessario per decrittografare i dati può essere facilmente estratto da esso. I ricercatori ipotizzano che si tratti di una sorta di artefatto di debug che non è stato “pulito” prima del rilascio.

Gli operatori RaaS apparentemente non sono a conoscenza del fatto che i loro clienti distribuiscono build con la funzione backupMasterKey().

Si ritiene che CyberVolk sia un gruppo filo-russo con sede in India che opera in modo indipendente. Mentre altri hacktivisti si limitano in genere ad attacchi DDoS, CyberVolk ha deciso di accettare la sfida di creare un proprio ransomware.

Gli aggressori lo hanno annunciato per la prima volta l’anno scorso e, sebbene siano stati successivamente banditi da Telegram diverse volte, nell’agosto di quest’anno il gruppo ha presentato il malware VolkLocker (CyberVolk 2.x) e la sua piattaforma RaaS (Ransomware-as-a-Service).

VolkLocker è scritto in Go e funziona sia su Linux (incluso VMware ESXi) che su Windows. L’accesso a RaaS per un singolo sistema operativo costa tra gli 800 e i 1.100 dollari, le versioni Linux e Windows costano tra i 1.600 e i 2.200 dollari, mentre un RAT o un keylogger autonomo costa 500 dollari. Gli acquirenti del malware ottengono l’accesso a un generatore di bot per Telegram, dove possono configurare il ransomware e ricevere il payload generato.

Per creare il tuo ransomware, devi specificare un indirizzo Bitcoin, un token bot di Telegram, un ID chat, una scadenza per il pagamento del riscatto, un’estensione per i file crittografati e impostare le opzioni di autodistruzione.

Una volta avviato sul sistema della vittima, VolkLocker aumenta i privilegi aggirando il Controllo dell’account utente di Windows, seleziona i file da crittografare da un elenco di esclusioni preconfigurato e crittografa i dati utilizzando AES-256 in modalità GCM.

I ricercatori hanno inoltre notato che il codice contiene un timer che attiva un wiper che distrugge le cartelle dell’utente (Documenti, Download, Immagini, Desktop) dopo la scadenza del ransomware o quando viene inserita una chiave errata nella finestra HTML del riscatto.

Secondo gli esperti, la principale debolezza del malware risiede nella crittografia. VolkLocker non genera chiavi dinamicamente, ma utilizza la stessa chiave master hardcoded per tutti i file presenti sul sistema infetto. Come accennato in precedenza, questa chiave viene scritta nel file eseguibile come stringa esadecimale e duplicata in un file di testo in formato %TEMP%.

Gli esperti ritengono che tali errori indichino problemi di controllo qualità: il gruppo sta cercando di espandersi in modo aggressivo attraendo nuovi “partner” inesperti, ma non riesce a portare a termine nemmeno i compiti più basilari.

In genere, si ritiene opportuno non divulgare dettagli sulle vulnerabilità dei ransomware mentre gli aggressori sono ancora attivi. Gli esperti, invece, in genere avvisano le forze dell’ordine e le aziende specializzate in trattative per il ransomware, che possono quindi assistere le vittime in privato. Poiché CyberVolk rimane attivo, SentinelOne spiega che è improbabile che la divulgazione di informazioni sulle vulnerabilità di VolkLocker ostacoli gli sforzi dei colleghi e delle forze dell’ordine per combattere il gruppo.

L'articolo Ransomware VolkLocker: Gli hacker sbagliano e lasciano la chiave master nel malware proviene da Red Hot Cyber.

L’Open Source Intelligence (OSINT) è emersa, negli ultimi anni, come una delle discipline più affascinanti, ma anche più insidiose, nel panorama dell’informazione e della sicurezza. La sua essenza è straordinariamente semplice: estrarre e analizzare dati da fonti pubbliche che si tratti di un post su X, di un bilancio depositato in Camera di Commercio, o di un articolo scientifico per trasformarli in intelligence concreta e utilizzabile.

Quella che un tempo era una tecnica appannaggio esclusivo di agenzie governative, oggi è uno strumento quotidiano per investigatori, giornalisti, analisti di threat intelligence e, inevitabilmente, anche per malintenzionati. Ed è proprio questa democratizzazione che ci costringe a porci una domanda fondamentale: dove finisce la ricerca legittima e dove inizia l’illecito?

Un’arma a doppio taglio

L’Open Source Intelligence (OSINT) si configura come un’arma a doppio taglio nell’era digitale: un lato è l’illuminazione, l’altro è l’ombra. Se da una parte ha permesso a organizzazioni non governative e a giornalisti d’inchiesta di portare alla luce crimini di guerra o corruzioni sistemiche, dall’altra ha fornito una metodologia incredibilmente potente a chiunque voglia nuocere. L’accessibilità e l’efficacia degli strumenti attuali, spesso automatizzati e basati su algoritmi di intelligenza artificiale, amplificano esponenzialmente il dilemma originario. L’analista OSINT non è più solo un investigatore paziente che spulcia archivi cartacei o vecchi siti web, ma è un operatore che, con pochi script o tool commerciali, è in grado di mappare intere reti sociali o infrastrutture aziendali in tempi brevissimi.

Il terreno su cui si muove l’OSINT è per sua natura scivoloso. La definizione stessa, “dati da fonti aperte“, suggerisce che tutto sia lecito, purché sia pubblico. Ma la realtà è molto più sfumata. In Italia, e in Europa in generale, il primo ostacolo è il GDPR. Non basta che un dato sia visibile a tutti per poterlo raccogliere, archiviare e analizzare sistematicamente. Questa rapidità e onnipotenza percepita è il cuore del problema legale, specialmente in Europa. La normativa sulla protezione dei dati, il GDPR, è stata concepita per bilanciare l’innovazione tecnologica con la tutela dei diritti fondamentali degli individui.

E qui si annida la trappola per l’analista OSINT non professionale. Molti sono convinti che, se un dato è “pubblicato”, l’individuo ne abbia implicitamente acconsentito alla rielaborazione. Ma il diritto europeo non funziona così. Quando si aggregano informazioni sparse – magari unendo un nome utente di Telegram, la foto di un profilo LinkedIn e l’indirizzo di casa trovato su un vecchio registro catastale – si sta effettuando un vero e proprio trattamento di dati personali.

La pubblicazione volontaria di un selfie su Instagram non è un via libera alla sua indicizzazione, archiviazione a lungo termine, e successiva associazione a informazioni sensibili tratte da altre fonti per la creazione di un “profilo di rischio”.

Aggregazione dei dati: OSINF e OSINT

L’aggregazione di dati è l’azione che trasforma l’OSINF in OSINT, e contemporaneamente, l’azione che più facilmente viola il GDPR. Pensiamo all’utilizzo delle e-mail e dei username recuperati. Un conto è notare che l’utente A ha lo stesso username su Twitter e su un forum di discussione tecnica. Un altro, ben diverso, è raccogliere sistematicamente migliaia di queste correlazioni, associarle a indirizzi IP, metadati e schemi di comportamento, e costruire un database ricercabile. In questo caso, l’attività sfocia in un vero e proprio trattamento su larga scala che non solo richiede una base giuridica solida (quasi sempre assente per il curioso o il freelance senza mandato), ma spesso imporrebbe anche l’obbligo di una Valutazione di Impatto sulla Protezione dei Dati (DPIA).

Questo trattamento richiede una base giuridica (consenso, legittimo interesse, obbligo legale) che spesso, nel contesto di una ricerca OSINT non autorizzata, semplicemente non esiste. L’analista potrebbe agire in perfetta buona fede, convinto di non star facendo nulla di male, ma la semplice creazione di un dossier dettagliato su una persona, attingendo solo a fonti aperte, può già configurare una violazione normativa. L’analista improvvisato è quasi sempre inconsapevole di queste procedure, trasformando la sua “ricerca” in un potenziale illecito amministrativo con multe salatissime.

Il confine si fa ancora più netto quando la curiosità spinge il ricercatore a “dare una sbirciatina oltre il cancello”. L’OSINT dovrebbe limitarsi alla superficie del web, senza sfondare porte. Il confine si fa ancora più spinoso sul piano penale, come accennato con l’accesso abusivo. È fondamentale sottolineare che il diritto penale, in questo contesto, non valuta l’intenzione benevola, ma il fatto oggettivo dell’intrusione. Ma in un mondo dove le protezioni a volte sono banali, la tentazione è forte. Se un analista sfrutta un bug di configurazione di un sito, o indovina una password debole per accedere a un’area riservata – anche se non protetta da sistemi di sicurezza complessi – sta commettendo un accesso abusivo a sistema informatico o telematico.

Non tutto ciò che è pubblico è lecito: l’etica operativa dell’OSINT

Non è importante quanto sia stata facile l’intrusione, ma il fatto che non fosse autorizzata. L’utilizzo di sub-domain enumeration tools che tentano di accedere a cartelle nascoste non è OSINT; l’utilizzo di strumenti per la ricerca di credenziali esposte o database non protetti non è ricerca legittima, ma un’attività pre-offensiva che può facilmente degenerare in reato. Anche un semplice port scanning o la verifica di versioni di software esposte, se eseguiti con l’intento di trovare vulnerabilità da sfruttare, possono essere interpretati come azioni preparatorie all’accesso abusivo.

Allo stesso modo, l’utilizzo aggressivo di scraper automatizzati per rastrellare milioni di record violando i Termini di Servizio di una piattaforma, o aggirando deliberate limitazioni tecniche, ci porta in una zona grigia che è a un passo dal trasformarsi in illegalità, specialmente se l’obiettivo è la successiva monetizzazione o il data mining massivo di informazioni sensibili. L’OSINT agisce sulla superficie esposta e sui dati volontariamente o inconsapevolmente lasciati pubblici, ma si ferma dove inizia la necessità di forzare o aggirare qualsiasi tipo di barriera tecnica, anche la più banale come un file robots.txt ignorato intenzionalmente.

Ma i limiti della ricerca non sono soltanto giuridici. C’è un codice, spesso non scritto, che definisce l’etica dell’OSINT. Oltre la legge, persiste l’ineludibile questione etica, che funge da “norma interna” del professionista. La distinzione cruciale è tra “ciò che puoi fare” e “ciò che dovresti fare”. Pensiamo al social engineering: se un analista crea un profilo fittizio (sock puppet) per stringere amicizia virtuale con l’obiettivo e spingerlo a rivelare dettagli che altrimenti terrebbe privati, l’azione è tecnicamente legale finché non sfocia in truffa o minaccia.

L’uso di profili fittizi (sock puppets), ad esempio, è spesso dibattuto. Sebbene possa non essere illegale creare un alter ego virtuale, l’atto di ingannare un individuo per stabilire un rapporto di fiducia al fine di estorcergli informazioni private viola il principio di trasparenza e minaccia la fiducia digitale generale. Tuttavia, è universalmente considerata una prassi non etica e manipolativa. Sfruttare la debolezza emotiva o la scarsa consapevolezza digitale di un individuo per estorcergli informazioni tradisce lo spirito di trasparenza su cui l’OSINT dovrebbe basarsi. Un analista etico dovrebbe sempre cercare il dato con la sua vera identità professionale o, se necessario, tramite fonti neutrali, evitando la manipolazione psicologica. Il fine ultimo dell’OSINT professionale non è raccogliere il gossip o l’informazione compromettente, ma ottenere un quadro informativo che sia accurato, verificabile e contestualizzato.

Dal rumore al segnale: metodo, verifica ed etica nell’OSINT

Il professionista responsabile non cerca solo il dato, ma anche la sua validazione e il suo contesto. C’è un abisso tra l’OSINT (Intelligence) e l’OSINF (Information). Questa distinzione tra OSINT e OSINF è cruciale. Un analista etico sa che un’informazione decontestualizzata o non verificata può distruggere la reputazione di una persona o, in contesti geopolitici, mettere in pericolo vite. L’analista etico non si limita a trovare un tweet incendiario; verifica l’autenticità dell’account, analizza i metadati della foto, incrocia la dichiarazione con i dati geopolitici noti e valuta la sua rilevanza nel contesto investigativo. Il “martello pneumatico” dell’informazione decontestualizzata distrugge reputazioni, alimenta fake news e può persino mettere in pericolo l’incolumità fisica delle persone, in particolare in contesti di doxing o vendetta online. L’OSINT, quando ben eseguita, è un processo metodologico rigoroso che mira alla validazione e alla contestualizzazione del dato, trasformando il rumore in segnale.

In sintesi, l’OSINT è uno strumento chirurgico, non un martello pneumatico. La linea rossa non è un confine fisico tracciato sulla sabbia, ma una bussola interna che guida l’analista. In definitiva, l’analista responsabile deve adottare una mentalità di minimizzazione del dato e di proporzionalità dell’azione. Deve operare con la consapevolezza che ogni ricerca, anche la più innocua, può avere ripercussioni sulla privacy e sui diritti altrui. Prima di avviare una ricerca intrusiva o di aggregare informazioni personali, deve porsi la domanda: è strettamente necessario questo livello di dettaglio per raggiungere il mio obiettivo legittimo? Se l’obiettivo è la threat intelligence difensiva (es. identificare un attacco phishing in corso), l’azione è proporzionata.

Se l’obiettivo è la semplice curiosità o l’indagine su un ex-partner senza un mandato legale o una giustificazione etica cogente, l’azione è sproporzionata e abusiva. Ignorare i principi di proporzionalità, minimizzazione del dato e rispetto della legge non è solo un rischio legale: significa minare la credibilità e l’integrità dell’intera disciplina, trasformando uno strumento di conoscenza in un mezzo di sorveglianza e violazione. La legittimità dell’OSINT, quindi, non risiede solo nella legalità delle sue fonti, ma nella legittimità del suo scopo e nella riserva etica con cui lo si persegue. L’etica, in questo campo, non è un optional, ma la precondizione per la legittimità stessa del lavoro svolto. Ignorare questa bussola etica interna significa condannare l’OSINT a diventare, agli occhi della legge e della società, una forma sofisticata di sorveglianza non autorizzata.

L'articolo Linee Rosse e Limiti Etici nell’OSINT: Quando la Ricerca Oltrepassa il Confine della Legalità proviene da Red Hot Cyber.

Hanukkah is upon us, and if that’s your jam [Brian] has you covered with this stylish WiFi menorah. While we can’t say if it’ll stretch your last gigabyte of connectivity into eight, it’s certainly going to provide awesome signal with all those antennae.
You could perhaps coax us to make one of these.
[Brian] was inspired by the enterprise version of the Hak5 “WiFi Pineapple”, a high-powered pentesting device. Seeing its plethora of antennae, he was struck with the idea of mounting them all onto a menorah, so he did. The menorah itself is 3D printed (of course) with lots of coax running through it down to the base, where presumably it would be connected to a Pineapple or high-powered router.

The project is presented as more of an art piece than a functional device, as there’s no evidence that [Brian] has actually hooked it up to anything yet. But consider the possibilities — along with the traditional candles, you could “light” one WiFi antenna each night, bringing the holiday glow to 2.4 GHz or 5 GHz. If you prefer more visible wavelengths, perhaps this LED menorah would be more to your tastes.

If you’ve got a hack for your culturally-relevant holiday festival, be it Christmas, Hanukkah, or Festivus, we’d love to see it. The tips line is open all year round.

hackaday.com/2025/12/17/wifi-m…

La psicologia delle password parte proprio da qui: cercare di capire le persone prima dei sistemi.

Benvenuti in “La mente dietro le password”, la rubrica che guarda alla cybersecurity
da un’angolazione diversa: quella delle persone. Nel mondo digitale contiamo tutto: attacchi, patch, CVE, indicatori. Eppure l’elemento più determinante continua a sfuggire alle metriche: i comportamenti umani.

Le password lo dimostrano ogni giorno. Non nascono in laboratorio, ma nella nostra testa: tra ricordi, abitudini, scorciatoie, ansie, buoni propositi e quel pizzico di convinzione di “essere imprevedibili” mentre facciamo esattamente il contrario.

Dentro una password si nascondono routine, affetti, nostalgie, momenti di fretta, false sicurezze, piccoli autoinganni quotidiani. Non descrivono i sistemi: descrivono noi. Questa rubrica nasce per raccontare proprio questo. Ogni puntata esplora un gesto reale:

• il post-it sul monitor,
• la password affettiva ereditata da anni,
• il “la cambio domani” diventato rito aziendale, la creatività disperata del “tanto chi vuoi che lo indovini”.

Non servono moralismi, né tecnicismi inutili. L’obiettivo è capire perché facciamo ciò che facciamo e come questi automatismi diventano vulnerabilità senza che ce ne accorgiamo. E, soprattutto, capire come possiamo affrontarli: non con ricette magiche, ma con scelte più consapevoli, meno istintive e più vicine a come funzioniamo davvero.

Perché la sicurezza non è soltanto una questione di strumenti: è soprattutto una questione di consapevolezza.

Le password parlano di noi.
È ora di ascoltarle.

PARTIAMO DALLA FINE… Il mito dell’hacker genio

Hollywood ci ha venduto una narrativa irresistibile: l’hacker solitario, geniale, insonne,
che digita comandi impossibili mentre luci verdi scorrono su schermi impenetrabili.
Un essere mezzo mago, mezzo matematico, capace di entrare in qualunque sistema grazie a colpi di genio improvvisi.

Un’immagine talmente potente che ha finito persino per distorcere le parole:
oggi chiamiamo “hacker” ciò che, nella realtà, ha un altro nome.
L’hacker autentico costruisce, studia, migliora; chi viola davvero i sistemi è l’attaccante, il cracker.
Ma il mito ha ribaltato i ruoli, regalando al criminale la gloria del creativo.

La verità, però, è molto meno cinematografica e molto più efficace.

Non sempre serve essere un genio per violare un sistema.
Serve conoscere la matematica delle abitudini umane.

Gli attaccanti moderni non sono mostri di creatività. Sono ingegneri dell’ovvio: delle abitudini, dei percorsi ripetuti, delle password prevedibili.
E l’ovvio, quando diventa statistica, è devastante.

Il cervello ha smesso di collaborare: ecco le prove

C’è un momento preciso – quello in cui appare “Crea una nuova password” –
in cui l’essere umano moderno abbandona tutta la sua dignità digitale
e regredisce allo stadio primitivo del:
“Basta che me la ricordo.”

Un secondo prima siamo concentrati.
Un secondo dopo il cervello si siede, sbadiglia e attiva la modalità risparmio energetico.

La neuroscienza la chiama riduzione del carico cognitivo.
Noi la chiamiamo:
“Uff… di nuovo?”

Il problema è semplice: la nostra memoria non è fatta per ricordare caos.
Ricorda “gatto”.
Non ricorda fY9!rB2kQz.
Non per stupidità: per fisiologia.
Una password complessa non ha storia, non ha associazioni,
non ha un motivo per restare.

E così, nell’attimo di fatica, il cervello pigro prende il comando.

“Dai… metti Marco1984.
Tanto chi vuoi che la indovini?”

Ah sì? Prova a digitarla su Have I Been Pwned.

Ed ecco la sfilata delle soluzioni creative:

• nome del cane + 1
• compleanno del partner (che la password ricorda meglio di noi)
• il cognome dell’ex con cui non parli da dieci anni
• piatto preferito + punto esclamativo, perché fa “professionale”

Non è ignoranza digitale.
È psicologia applicata alla sopravvivenza quotidiana.

Il bias di disponibilità fa il resto:
il cervello pesca dal primo cassetto aperto. Ricordi recenti, affetti, date, luoghi, emozioni.
Non stiamo creando una password: stiamo scegliendo un ricordo comodo.

È umano.

Naturale, quasi inevitabile.

E il risultato, spesso, è disastroso

Nessuna policy può cambiare questo dato:
una password complessa è innaturale quanto memorizzare il numero di serie del frigorifero.

E infatti non la memorizziamo. Facciamo quello che fa qualunque cervello in difficoltà: cerchiamo scorciatoie.

• post-it
• WhatsApp a noi stessi
• email con oggetto “Password nuova”
• salvata nella rubrica del telefono
• altre fantasie

Siamo esseri biologici con trenta chiavi digitali da gestire.
È ovvio che la mente collassi sulla prima scorciatoia che trova.

Dietro le password peggiori c’è sempre un desiderio innocente:
semplificarsi la vita.

“Chi vuoi che venga proprio da me?”
“Non ho niente di interessante.”
“È solo temporanea…”

Il cervello ci convince che siamo troppo piccoli per essere un bersaglio.
Il problema è che, nel mondo digitale, siamo tutti bersagli grandi uguale.

I numeri che non vorremmo vedere

E prima di pensare che siano esagerazioni, ecco qualche numero reale (a volte più spietato delle battute):

• solo il 69% degli utenti che conoscono le passkey ne ha attivata una (FIDO Alliance)
• il 57% degli utenti salva le password su post-it o foglietti (Keeper Security – Workplace Password – Habits Report)
• solo il 63% usa la 2FA su almeno un account, e molto meno su tutti (Bitwarden)
• il 60–65% ricicla la stessa password su più servizi (NordPass)
• il 52% continua a usare password già compromesse in passato (DeepStrike)
• il 43% cambia solo un carattere quando “aggiorna” la password (DeepStrike)
• l’80% delle violazioni confermate coinvolge credenziali deboli o riutilizzate (Varonis)

È qui che l’ironia finisce e la statistica diventa spietata: ciò che è prevedibile, per un attaccante, è sfruttabile.

E questo è solo l’inizio:
la mente dietro le password ha ancora molto da raccontare.

Adesso analizziamo il primo problema: dove finisce la sicurezza, inizia la cartoleria. E i problemi veri.

Il santuario segreto dei post-it

C’è un ecosistema che nessun SOC monitora, nessun SIEM registra e nessun threat actor deve davvero violare:
l’ecosistema dei post-it.

Un luogo sacro, mistico, sotterraneo, dove l’utente medio compie i suoi rituali più intimi.
Lo trovi ovunque: sul monitor, sotto la tastiera, appiccicato al modem come un ex-voto digitale.

La frase più frequente?
“La password non la reggo più.”

A quel punto il post-it interviene come una specie di badante analogica:
ti tiene il segreto, ti regge la memoria, e ti ricorda che la sicurezza è bella finché non devi farla tu.

Le password sui post-it non nascono dalla stupidità. Nascono dalla stanchezza esistenziale.

Dopo l’ennesimo tentativo fallito e il solito messaggio
“La nuova password non può essere uguale alle ultime 12”,
l’utente compie il gesto definitivo:

“Basta. Me la scrivo.”

È un momento liberatorio. Quasi catartico.
Per alcuni, il primo vero atto di disobbedienza informatica.

Il paradosso è spietato:
un post-it è un segreto che tutti possono leggere tranne chi dovrebbe custodirlo.

Per l’utente diventa invisibile, parte dell’arredo digitale dell’ufficio. Lo notano solo due categorie:

• chi lo cerca professionalmente
• chi non dovrebbe vederlo professionalmente

Nel mezzo, il deserto.

Quando prova a mimetizzarsi, l’utente dà il meglio:

• scrive metà password
• usa nomi in codice (“PIN CARTA”)
• aggiunge simboli indecifrabili

Risultato: la password non la capisce nessuno. Nemmeno lui.

È il primo ransomware umano: i dati ci sono, ma l’utente non li sa più decrittare.

Aprire un cassetto d’ufficio significa avviare uno scavo archeologico:

• post-it sovrapposti, codici cancellati,
• numeri che sembrano OTP ma risalgono a 5 anni prima,
• misteriose note “NON TOCCARE” senza autore.

Ogni foglietto è un reperto della battaglia quotidiana con la memoria digitale.

Ed è qui che emerge un dettaglio che la cybersecurity ignora:
il rispetto quasi ancestrale per la carta.

La trattiamo come un oggetto affidabile, concreto, degno di fiducia. Il digitale può tradirti senza preavviso.
La memoria può svanire nel momento sbagliato. Ma il foglietto no: rimane lì, fisico, domestico, comprensibile.

Gli utenti non scrivono le password sui post-it perché sono negligenti,
ma perché hanno un’istintiva fiducia nella materia.
La carta non chiede aggiornamenti, non scade, non cambia policy.
È l’ultimo baluardo dell’analogico in un mondo che ci chiede
di ricordare sempre di più e capire sempre meno.

Il post-it sopravvive perché dà sicurezza.
Tangibile, non teorica.

A meno che non voli via. O si incolli al maglione. O finisca nel cestino.
Ma questa è la sua poesia tragica.

Finché inventeremo password, inventeremo anche modi per ricordarle male.
E i post-it resteranno la nostra piccola, ostinata resistenza analogica nel mondo delle minacce digitali.

Una vulnerabilità? Certo.
Un problema? Assolutamente.
Ma anche una delle più grandi verità antropologiche della cybersecurity.

Perché, in fondo, le password ci rivelano una cosa semplice:
non cambiamo comportamento finché non comprendiamo l’origine del comportamento stesso.

Nella prossima puntata scenderemo ancora più in profondità, dove la psicologia diventa design:
l’Effetto IKEA – l’illusione che ci fa affezionare alle password peggiori solo perché “le abbiamo costruite noi”.
E subito dopo, la tragedia del Cambia Password – il rito aziendale che rischia di produrre più incidenti che sicurezza.

Continua…

L'articolo La psicologia delle password. Non proteggono i sistemi: raccontano le persone proviene da Red Hot Cyber.

Secondo quanto riportato da Leparisien, la nave Fantastic della compagnia genovese GNV è stata bloccata venerdì 12 dicembre nel porto di Sète, nel sud della Francia, causando ore di attesa a circa 650 passeggeri. Il ritardo è stato determinato da un’operazione di sicurezza avviata dalle autorità francesi a seguito di una segnalazione proveniente dall’intelligence italiana.

Come riferito dal quotidiano francese, agenti della DGSI, il servizio di sicurezza interna di Parigi, sono saliti a bordo del traghetto ed hanno condotto perquisizioni riservate, fermando due membri dell’equipaggio. I controlli avrebbero portato al rinvenimento di un dispositivo contenente un malware di tipo RAT (Remote Access Tool), in grado di consentire l’accesso remoto ai sistemi informatici della nave, inclusi quelli di navigazione.

L’intervento delle autorità francesi è stato preceduto da un’informativa trasmessa dall’Italia. La Fantastic, di proprietà di GNV, era infatti finita sotto osservazione dopo una segnalazione relativa a due marinai: un cittadino lettone poco più che ventenne, assunto da poco tempo, e un cittadino bulgaro, entrambi ritenuti potenzialmente collegati agli interessi di una potenza straniera.

Gli accertamenti successivi hanno portato al rilascio del marinaio bulgaro, mentre il cittadino lettone è rimasto in stato di fermo ed è stato trasferito a Parigi. Dopo due giorni, la Procura francese ha formalizzato nei suoi confronti le accuse di associazione a delinquere finalizzata al perseguimento degli interessi di una potenza straniera, tentata intrusione nei sistemi informatici e detenzione ingiustificata di dispositivi destinati a interferire con i sistemi automatici di navigazione.

Le autorità francesi non hanno indicato ufficialmente lo Stato per conto del quale l’operazione sarebbe stata condotta. Tuttavia, secondo Le Parisien, l’indagine si inserirebbe nel quadro delle attività di guerra ibrida attribuite alla Russia, che negli ultimi mesi avrebbero interessato diversi Paesi europei, con episodi concentrati anche nelle acque e nei cieli francesi.

Nei giorni precedenti, la marina francese aveva aperto il fuoco contro droni non identificati avvistati nei pressi della base di Île Longue, in Bretagna, infrastruttura strategica per la deterrenza nucleare di Parigi. Lo scorso 13 ottobre, sempre in Bretagna, era stato inoltre individuato il sottomarino russo Novorossiysk in avaria, successivamente scortato fuori dalle acque francesi con il supporto della marina danese.

In una nota inviata a Il Sole 24 Ore, GNV ha comunicato di aver individuato e neutralizzato un tentativo di intrusione che non ha avuto conseguenze sui sistemi aziendali, grazie alle misure di sicurezza adottate. La compagnia ha inoltre riferito di aver denunciato l’accaduto alle autorità competenti e di collaborare pienamente alle indagini, garantendo nel contempo assistenza e aggiornamenti ai passeggeri durante le operazioni di polizia.

L'articolo Nave italiana bloccata in Francia per sospetto cyber-spionaggio: indagini su un marinaio lettone proviene da Red Hot Cyber.