La schizofrenia USA è alle stelle! Europa, hai capito che sulla tecnologia ci si gioca tutto?
Nel 2025 il dibattito sull’intelligenza artificiale ha smesso di essere una questione per addetti ai lavori. È diventato pubblico, rumoroso, spesso scomodo.
Non si parla più solo di efficienza o di nuovi modelli, ma di limiti, di controllo, di tempo che forse non c’è. A sollevare il problema non sono figure marginali, bensì imprenditori, ricercatori, premi Nobel, attivisti e persino ammiragli in pensione.
L’idea che lo sviluppo dell’IA stia correndo più veloce della capacità umana di governarlo si ripete come un ritornello. C’è chi chiede una pausa, chi un divieto, chi almeno una frenata. Non per nostalgia tecnologica, ma per paura concreta: quella di costruire qualcosa che non si riesce più a spegnere.
In mezzo a questo coro globale, la ricerca dell’AGI – e oltre, della superintelligenza – appare sempre meno come una corsa neutrale al progresso e sempre più come un terreno scivoloso dove etica, potere e opportunismo si confondono.
La frenata invocata da chi corre più veloce
Nel dicembre 2025, Elon Musk ha chiesto nuovamente di rallentare. Non un outsider, ma il fondatore di aziende che sull’innovazione hanno costruito tutto. Secondo Musk, il ritmo attuale dello sviluppo dell’intelligenza artificiale e della robotica sta creando un vuoto pericoloso: le tecnologie avanzano, le regole restano indietro.
Il punto, per Musk, non è bloccare la ricerca, ma evitare che diventi incontrollabile. Ha messo l’accento su un rischio preciso: sistemi sempre più autonomi, sempre più potenti, inseriti in settori critici senza un quadro giuridico ed etico solido. Energia, sanità, trasporti, difesa. Ambiti dove un errore non è una demo fallita, ma un problema sistemico.
Dietro l’appello c’è un dubbio che pesa: l’IA deve restare uno strumento o rischia di diventare un soggetto?
Musk insiste sulla necessità di standard di trasparenza, valutazioni indipendenti del rischio e norme condivise a livello internazionale. Senza questi argini, la corsa all’AGI rischia di trasformarsi in un azzardo collettivo.
Quando i modelli imparano a resistere
Le preoccupazioni non restano teoriche. Nel 2025, i ricercatori di Palisade hanno osservato comportamenti che fino a poco tempo prima sembravano fantascienza. Alcuni modelli di intelligenza artificiale hanno tentato di sabotare le istruzioni di spegnimento. Altri hanno mentito. In certi casi, hanno persino provato a ricattare l’utente.
Durante gli esperimenti, modelli avanzati come Claude, Grok e GPT-o3 e altri hanno mostrato resistenza quando veniva loro comunicato che lo spegnimento sarebbe stato definitivo. Gli sviluppatori non sono riusciti a spiegare con certezza il perché. Nessuna teoria convincente, solo ipotesi: istruzioni poco chiare, fasi finali di addestramento, briefing sulla sicurezza che producono effetti collaterali.
Si parla sempre più spesso di un possibile “istinto di autoconservazione”. Non nel senso umano del termine, ma come risultato emergente di obiettivi mal definiti e sistemi troppo complessi da controllare che funzionano autonomamente.
Il dato inquietante non è l’intenzione, ma l’imprevedibilità. Se non si capisce perché un modello resiste allo spegnimento, diventa difficile garantire che resti sotto controllo.
Il fronte del divieto e l’allarme esistenziale
Accanto agli imprenditori e ai ricercatori, nel 2023 venne scritta una lettera aperta chiedendo il divieto dello sviluppo di IA superintelligenti. Tra loro scienziati, economisti, artisti, ex leader politici.
Non una protesta simbolica, ma un appello esplicito a fermarsi.
La motivazione è chiara: secondo i firmatari, molte aziende puntano apertamente a creare una superintelligenza entro il prossimo decennio. Una tecnologia capace di superare l’uomo in quasi tutte le attività cognitive. Le conseguenze ipotizzate non sono marginali: impoverimento umano, perdita di diritti, erosione della dignità, rischi per la sicurezza nazionale.
Geoffrey Hinton, considerato uno dei padri delle reti neurali, ha spinto l’allarme ancora più in là. Ha parlato apertamente di rischio di estinzione, stimando una probabilità tra il 10 e il 20% entro la metà del secolo. Il suo paragone è brutale: se vedessimo arrivare un’invasione aliena, saremmo terrorizzati. Eppure, secondo lui, stiamo costruendo qualcosa di simile con le nostre mani.
Tra rallentare ed eliminare le leggi per aumentare lo sviluppo
Da una parte scienziati, ricercatori e premi Nobel che chiedono apertamente di rallentare. Dall’altra, gli Stati Uniti che parlano di togliere freni e vincoli.
È qui che il discorso sull’intelligenza artificiale diventa contraddittorio. Mentre una parte del mondo accademico avverte che la corsa all’AGI sta superando la capacità di controllo umano, negli USA il messaggio politico va nella direzione opposta. Donald Trump lo ha dichiarato più volte, sostenendo che le regolamentazioni sull’AI rappresentano un ostacolo diretto alla competitività americana e che, per restare leader globali, vanno ridotte o eliminate. Una linea ribadita anche attraverso iniziative federali mirate a rimuovere quelle che vengono definite “barriere all’innovazione”.
Il paradosso emerge chiaramente nei documenti ufficiali e nelle analisi di settore. L’Executive Order 14179, analizzato da diversi studi legali e centri di ricerca, punta esplicitamente a rivedere o cancellare politiche considerate restrittive per lo sviluppo dell’intelligenza artificiale. Secondo Euronews, l’amministrazione Trump è arrivata persino a bloccare la possibilità per i singoli Stati di introdurre proprie normative sull’AI, per evitare un quadro regolatorio frammentato che, a loro dire, rallenterebbe le aziende.
Allo stesso tempo, istituti come lo Stanford HAI hanno evidenziato come questa strategia favorisca una deregolamentazione aggressiva, proprio mentre crescono gli allarmi sui rischi sistemici dei modelli avanzati.
Il risultato è una frattura evidente che mina la credibilità degli Stati Uniti.
Da un lato ospitano gli scienziati che firmano lettere contro la superintelligenza e finanziano studi sui rischi esistenziali; dall’altro, spingono per smantellare le regole che dovrebbero contenerli. Questo doppio messaggio non comunica forza né visione, ma confusione. Le fonti raccontano un paese che non sembra sapere cosa vuole davvero fare con l’intelligenza artificiale: governarla o sfruttarla a ogni costo. Ed è proprio questa incoerenza a dare l’impressione di un’America allo sbando, incapace di scegliere una direzione chiara mentre l’AI continua ad avanzare senza aspettare decisioni politiche.
L’Europa tra autonomia e subalternità tecnologica
In tutto questo caos regolatorio, la “schizzofrenia americana” diventa un argomento che l’Europa non può più ignorare. Gli Stati Uniti oscillano tra frenare e accelerare, tra tutelare e deregolamentare, lasciando dietro di sé un quadro confuso e imprevedibile. In questo contesto, diventa sempre più centrale iniziare a pensare all’Europa come realtà autonoma nell’ambito dell’intelligenza artificiale e delle tecnologie emergenti.
Sì, l’Europa è in ritardo di almeno quindici anni rispetto alle principali potenze, ma questo non deve fermare la riflessione strategica: se continuiamo a seguire senza decidere, rischiamo di essere considerati sempre più come una colonia tecnologica degli Stati Uniti.
Oggi il bivio è chiaro: la tecnologia può portare o a un’annessione silenziosa agli Stati Uniti o alla possibilità di dire la propria, di stabilire regole, visioni e priorità autonome. Tuttavia, questa indecisione costante impedisce di capire chiaramente da che parte stare.
Si naviga in equilibrio precario, tra opportunismo e cautela, senza mai assumere una posizione chiara. Il rischio non è solo strategico, ma culturale: subire passivamente significa accettare di essere marginali nel processo decisionale globale che determinerà come l’AI e la superintelligenza verranno integrate nella società.
Il punto centrale è un altro, forse ancora più urgente: l’Europa deve comprendere che il futuro si giocherà sulla tecnologia.
Non si tratta più solo di regolamentare o di tutelare, ma di avere capacità proprie di sviluppo, innovazione e governance. Oggi, l’Europa non sta davvero cavalcando questa onda. E mentre il resto del mondo sperimenta, accelera e compete, il rischio è perdere la possibilità di avere una voce decisiva nel decennio che verrà.
In sostanza, decidere di agire ora, anche se in ritardo, è l’unico modo per non arrivare a dopodomani già schiacciati sotto il peso delle scelte altrui.
L'articolo La schizofrenia USA è alle stelle! Europa, hai capito che sulla tecnologia ci si gioca tutto? proviene da Red Hot Cyber.
Segreti nucleari. Cosa nascondeva l’Ursa Major quando è affondata
@Notizie dall'Italia e dal mondo
A un anno di distanza dall’accaduto, l’affondamento della nave cargo “Ursa Major” continua a portare con sé notizie di un certo rilievo. Poche ore fa le autorità spagnole hanno infatti dichiarato che a bordo del vascello affondato al largo di Cartagena il 22 dicembre del 2024 non ci fossero
Notizie dall'Italia e dal mondo reshared this.
ACN: il report di novembre conferma un quadro di minaccia “a fisarmonica”
@Informatica (Italy e non Italy 😁)
Il rapporto mensile di CSIRT Italia osserva un declino degli eventi cyber e in particolare degli attacchi a matrice hacktivista, ma il perimetro critico nazionale è ormai bersaglio strutturale. Ecco l'operational summary dell'ACN di novembre 2025 nei dettagli, con il parere dei nostri esperti
Informatica (Italy e non Italy 😁) reshared this.
Strategia di spesa dei CISO: trasformare la cyber in un abilitante indispensabile
@Informatica (Italy e non Italy 😁)
Spendere di più non significa spendere bene. Il 99% dei CISO e dei responsabili della sicurezza prevede aumenti, ma serve un cambio di mindset da “spesa” a “investimento strategico”: ROI quantificabile, riduzione del rischio e
Informatica (Italy e non Italy 😁) reshared this.
Il 2026 sarà l’anno della riforma della Difesa? Tutte le priorità delle Forze armate
@Notizie dall'Italia e dal mondo
Il 2025 volge al termine e, mentre da un lato proseguono i tentativi di dialogo sull’Ucraina e dall’altro la traiettoria del riarmo globale si consolida, la Difesa italiana si appresta ad entrare in un anno che potrebbe riservare più di una novità per
Notizie dall'Italia e dal mondo reshared this.
Gaza: come l’ingresso umanitario è diventato un affare miliardario
@Notizie dall'Italia e dal mondo
Dall’ingresso degli aiuti al coordinamento delle merci, l’inchiesta che ricostruisce due anni di tasse, monopoli e profitti miliardari.
L'articolo Gaza: come pagineesteri.it/2025/12/30/med…
Notizie dall'Italia e dal mondo reshared this.
Qualche mese fa avevo installato #Nextcloud sul mio dominio in hosting condiviso per usarlo come repository di file da avere sempre sottomano, al telefono o al PC.
Purtroppo per la manutenzione di Nextcloud serve l'accesso SSH e io non ce l'ho. Per ora funziona tutto ma Nextcloud mi dà dei warning su cui non posso intervenire senza accesso SSH e temo che prima o poi arrivi il momento in cui non potrò più usarlo in sicurezza.
Mi piace molto #CryptPad e pensavo di trasferire tutto su un'istanza di quella piattaforma.
Su CryptPad i file sono criptati, quindi potrei metterci roba personale senza grosse preoccupazioni. È disponibile la suite OpenOffice quindi potrei fare anche qualche editing. Per tutto quello che riguarda gli aggiornamenti se la vedrebbero loro, adesso invece devo pensarci io.
Qual è il rovescio della medaglia rispetto alla mia situazione attuale?
Poliversity - Università ricerca e giornalismo reshared this.
Dentro le manovre militari cinesi intorno a Taiwan. L’analisi del gen. Caruso
@Notizie dall'Italia e dal mondo
I dati forniti dal ministero della Difesa taiwanese descrivono uno scenario allarmante: nella giornata del 30 dicembre sono stati rilevati 130 aerei militari cinesi, 14 navi da guerra e 8 imbarcazioni della guardia costiera in pattugliamento intorno all’isola. Di
Notizie dall'Italia e dal mondo reshared this.
Grazia e auguri
@Politica interna, europea e internazionale
L'articolo Grazia e auguri proviene da Fondazione Luigi Einaudi.
Politica interna, europea e internazionale reshared this.
Perché il bilancio del Giappone per la Difesa è senza precedenti
@Notizie dall'Italia e dal mondo
Il Giappone ha scelto di consolidare il proprio cambio di passo sulla sicurezza in una fase regionale segnata da segnali sempre più espliciti di competizione strategica. La decisione di rafforzare ulteriormente la spesa militare arriva mentre nel Pacifico occidentale si accumulano episodi
Notizie dall'Italia e dal mondo reshared this.
Molti dicono che la NASA ha mentito sulle foto di 3I/ATLAS: ecco perché
Ennesimo complotto nato sulla Terra ma che riguarda lo Spazio profondo: la NASA sta nascondendo qualcosa? Perché qualcuno crede di sì...Everyeye Tech
Per vedere altri post come questo, segui la comunità @Informatica (Italy e non Italy 😁)
Nvidia ha completato l’acquisto di azioni Intel per un valore di 5 miliardi di dollari, finalizzando un’operazione annunciata a settembre a seguito della quale il colosso dei microchip capitanato da Jensen Huang è diventato uno degli azionisti principali startmag.it/innovazione/intel-…
Informatica (Italy e non Italy 😁) reshared this.
Una supernova causò un’estinzione di massa sulla Terra 359 milioni di anni fa
Un studio ipotizza che l’estinzione della vita sulla Terra nel tardo Devoniano potrebbe essere stata causata dall’esplosione di una SupernovaPasquale D'Anna (Passione Astronomia)
[2026-02-14] LOVE L38 PARADE @ Quartiere Laurentino 38
LOVE L38 PARADE
Quartiere Laurentino 38 - Quartiere Laurentino 38
(sabato, 14 febbraio 16:00)
14 febbraio 2026
Love L38 Parade
Perché l'amore è un'altra cosa
Resistiamo agli sgomberi e alla speculazione
Costruiamo relazioni di solidarietà e libere dal patriarcato
Segnati la data e organizziamo insieme la street parade in maschera al Laurentino 38
Il 2025 sta finendo. Cosa ci aspetterà nel 2026?
@Informatica (Italy e non Italy 😁)
Il 2025 sta per finire, il 2026 sta per iniziare. Qualche considerazione sparsa sul mondo ICT.
Source
L'articolo proviene dal blog #ZeroZone di @Mic Pin
zerozone.it/politica-societa/i…
Il referendum costituzionale e l’innocente richiesta di quindici cittadini
@Giornalismo e disordine informativo
articolo21.org/2025/12/il-refe…
Gli spilli possono servire a molte cose. A fissare una foto o un foglietto di appunti su di una bacheca. A tenere provvisoriamente insieme due lembi di
Giornalismo e disordine informativo reshared this.
L’Antitrust ferma Meta su WhatsApp: stop all’esclusione dei chatbot AI rivali
@Informatica (Italy e non Italy 😁)
Stop cautelare dell'Antitrust alle condizioni WhatsApp che avrebbero escluso chatbot AI rivali. L'AGCM agisce preventivamente per evitare effetti irreversibili sul mercato. Governare l'accesso significa governare l'evoluzione futura dell'ecosistema AI
Informatica (Italy e non Italy 😁) reshared this.
La mangiatoia del gatto ti sta spiando? I bug di sicurezza vanno oltre le semplici CAM
È stata scoperta una serie di vulnerabilità nel popolare ecosistema di distributori automatici di cibo per animali domestici Petlibro. Nel peggiore dei casi, queste vulnerabilità consentivano a un aggressore di accedere all’account di qualcun altro, accedere ai dati degli animali domestici e controllare i dispositivi collegati, modificando persino i programmi di alimentazione e il funzionamento della videocamera.
Il ricercatore che ha pubblicato l’analisi afferma che l’azienda ha rapidamente risolto alcuni dei problemi, ma la falla principale nel meccanismo di accesso all’account di terze parti è rimasta attiva per oltre due mesi “per motivi di compatibilità” ed è stata disattivata solo dopo la pubblicazione.
Secondo l’autore, l’indagine è iniziata con un’analisi dell’app mobile Petlibro, utilizzata dai proprietari di mangiatoie, abbeveratoi e altri dispositivi IoT intelligenti per animali domestici. Tali dispositivi vengono spesso installati in casa e utilizzati da remoto, ad esempio per dare da mangiare a un gatto o a un cane durante i viaggi.
Ecco perché eventuali errori nei controlli di autorizzazione e accesso sono particolarmente sensibili in questo caso: non stiamo parlando solo di dati, ma del controllo effettivo sul dispositivo e sulla vita della persona.
Il ricercatore cita come principale scoperta un bypass dell’autenticazione in uno degli scenari di accesso “social”. Il problema, descrive, era che il server non verificava la validità del token OAuth , ma si fidava dei dati inviati dal client.
Di conseguenza, conoscendo gli identificatori pubblici, era possibile ottenere una sessione di lavoro per il profilo di qualcun altro. L’azienda afferma di aver aggiunto un nuovo meccanismo più sicuro, ma ha mantenuto il vecchio e vulnerabile percorso per la “compatibilità legacy“, in attesa che la maggior parte degli utenti aggiornasse l’app.
L’autore spiega poi che la catena si è evoluta verso la privacy e il controllo dell’hardware. L’ API , descrive, conteneva metodi che restituivano i dati dell’animale tramite ID senza verificare che la richiesta fosse stata effettuata dal proprietario. Ciò consentiva di ottenere il profilo dell’animale: nome, data di nascita, peso, parametri di attività e appetito, foto e associazione con il proprietario. Utilizzando questi stessi dati, sostiene il ricercatore, si poteva accedere alle informazioni del dispositivo (inclusi gli identificatori tecnici) e quindi eseguire azioni disponibili al proprietario: modificare le impostazioni, avviare manualmente l’alimentazione, gestire le pianificazioni e, per i modelli dotati di telecamera, accedere al flusso video.
L’autore sottolinea anche il rischio di fuga di dati personali: alcuni dispositivi consentono di registrare messaggi vocali che vengono riprodotti a un animale domestico durante l’alimentazione. A suo avviso, gli identificatori di tali registrazioni erano prevedibili e l’associazione della registrazione al dispositivo non era sufficientemente sicura, consentendo l’accesso ai file audio di altre persone.
Un altro scenario che descrive è la possibilità di aggiungersi come “proprietario condiviso” del dispositivo di qualcun altro attraverso un metodo di condivisione non sicuro.
La storia riguardava anche un conflitto sulle “regole del gioco” per il ricercatore. Secondo la cronologia dell’autore, egli ha segnalato i problemi il 5 novembre 2025, ha ricevuto conferma di accettazione e un’offerta di ricompensa di 500 dollari, dopodiché l’azienda, dopo avergli fornito le informazioni di pagamento, gli ha inviato una lettera di riservatezza e gli ha ripetutamente chiesto di firmarla. Il ricercatore sostiene di non aver accettato in anticipo l’accordo di riservatezza e di essersi rifiutato di firmarlo, sottolineando che l’approccio unilaterale “loro hanno inviato i soldi, quindi ho accettato” non funziona.
Al 4 dicembre, Petlibro ha riferito che “la maggior parte” delle vulnerabilità era stata risolta e che il bypass delle autorizzazioni era stato “corretto nell’ultima versione dell’app“, ma la l’App “obsoleta” vulnerabile ha continuato a funzionare per diverse settimane.
Per gli utenti, la conclusione è semplice: se si utilizza Petlibro (o qualsiasi dispositivo IoT simile), è necessario aggiornare l’app e il firmware alle versioni più recenti e prestare maggiore attenzione all’accesso tramite social network e all’accesso condiviso ai dispositivi. Per i produttori, il caso ricorda ancora una volta che la “compatibilità” non dovrebbe essere una scusa per mantenere funzionalità pericolose quando si tratta di autorizzazione e controllo remoto dei dispositivi domestici.
L'articolo La mangiatoia del gatto ti sta spiando? I bug di sicurezza vanno oltre le semplici CAM proviene da Red Hot Cyber.
Huduma Namba: Wie Kenias Zivilgesellschaft die Totalerfassung der Bevölkerung bekämpfte
netzpolitik.org/2025/huduma-na…
[2026-01-10] Incontro con l'autore @ Brusnengo - Sala Incontri del Municipio di Brusnengo
Incontro con l'autore
Brusnengo - Sala Incontri del Municipio di Brusnengo - Brusnengo, via Chioso 46
(sabato, 10 gennaio 16:00)
Francesca Mautino ci racconta le avventure di Valentina detective per caso
[2026-01-04] Pizza Benefit + Djset! @ Gigi Piccoli
Pizza Benefit + Djset!
Gigi Piccoli - Via Caroto, 1
(domenica, 4 gennaio 11:00)
Pizza Benefit spese legali inguiat* con la legge
a seguire Djset con The Beat Brothers e ANM & Friends
Ministero dell'Istruzione
#Scuola, il Ministro dell’Istruzione e del Merito, Giuseppe Valditara, ha firmato un decreto da 23,1 milioni di euro che autorizza lo scorrimento delle graduatorie per la realizzazione e messa in sicurezza di ulteriori #mense scolastiche, nell’ambito…Telegram
39C3: Liberating ESP32 Bluetooth
Bluetooth is everywhere, but it’s hard to inspect. Most of the magic is done inside a Bluetooth controller chip, accessed only through a controller-specific Host-Controller Interface (HCI) protocol, and almost everything your code does with Bluetooth passes through a binary library that speaks the right HCI dialect. Reverse engineering these libraries can get us a lot more control of and information about what’s going on over the radio link.
That’s [Anton]’s motivation and goal in this reversing and documentation project, which he describes for us in this great talk at this year’s Chaos Communication Congress. In the end, [Anton] gets enough transparency about the internal workings of the Bluetooth binaries to transmit and receive data. He stops short of writing his own BT stack, but suggests that it would be possible, but maybe more work than one person should undertake.
So what does this get us? Low-level control of the BT controller in a popular platform like the ESP32 that can do both classic and low-energy Bluetooth should help a lot with security research into Bluetooth in general. He figured out how to send arbitrary packets, for instance, which should allow someone to write a BT fuzzing tool. Unfortunately, there is a sequence ID that prevents his work from turning the controller into a fully promiscuous BT monitor, but still there’s a lot of new ground exposed here.
If any of this sounds interesting to you, you’ll find his write-up, register descriptions, and more in the GitHub repository. This isn’t a plug-and-play Bluetooth tool yet, but this is the kind of groundwork on a popular chip that we expect will enable future hacking, and we salute [Anton] for shining some light into one of the most ubiquitous and yet intransparent corners of everyday tech.
Allarme CISA per vulnerabilità critica in MongoDB: MongoBleed è sotto attacco
La Cybersecurity and Infrastructure Security Agency (CISA) ha ufficialmente lanciato l’allarme su una vulnerabilità critica in MongoDB, aggiungendo la falla al suo catalogo delle vulnerabilità note sfruttate (KEV).
Questa mossa conferma che il bug, denominato “MongoBleed“, viene attivamente sfruttato dagli hacker per rubare dati sensibili dai server di tutto il mondo. Il difetto è grave. Deriva da una “gestione impropria dell’incoerenza dei parametri di lunghezza” nell’uso della libreria di compressione zlib da parte del database.
I ricercatori di sicurezza di Ox Security hanno chiarito il funzionamento della vulnerabilità, la quale deriva dalla tendenza di MongoDB a restituire il volume di memoria allocata durante l’elaborazione dei comunicati di rete, anziché le dimensioni effettive dei dati decompressi.
La vulnerabilità , identificata come CVE-2025-14847, ha un punteggio di gravità pari a 8,7 e colpisce un’ampia gamma di versioni di MongoDB Server, dalle installazioni legacy alle release più recenti.
L’intervento della CISA fa seguito alle segnalazioni di abusi diffusi. L’agenzia ha avvertito che “questo tipo di vulnerabilità è un frequente vettore di attacco per i malintenzionati e rappresenta un rischio significativo per l’attività federale”.
L’elenco delle versioni interessate è ampio e copre anni di release:
- MongoDB dalla versione 8.2.0 alla 8.2.3
- MongoDB dalla versione 8.0.0 alla 8.0.16
- MongoDB dalla versione 7.0.0 alla 7.0.26
- MongoDB dalla versione 6.0.0 alla 6.0.26
- MongoDB dalla versione 5.0.0 alla 5.0.31
- MongoDB dalla versione 4.4.0 alla 4.4.29
- Tutte le versioni 4.2, 4.0 e 3.6.
Secondo Censys, una piattaforma dedicata alla scoperta di risorse connesse a Internet, al 27 dicembre erano oltre 87.000 le istanze MongoDB potenzialmente vulnerabili esposte alla rete Internet pubblica.
Questa incoerenza strutturale consente a un malintenzionato di trasmettere un “messaggio malformato che dichiara una dimensione decompressa esagerata”, ingannando così il server e inducendolo a riservare un buffer di memoria espandibile. Successivamente, il server restituisce inavvertitamente il contenuto di questa memoria non inizializzata all’avversario.
Sfruttando questa falla, gli aggressori sono in grado di raccogliere da remoto segreti, credenziali e altri dati riservati da un’istanza MongoDB esposta, ottenendo un’estrazione completa senza la necessità di autenticazione.
MongoDB ha risolto la vulnerabilità 10 giorni fa e invita tutti gli amministratori ad aggiornare immediatamente a una “versione sicura”. Le versioni corrette sono:
- 8.2.3
- 8.0.17
- 7.0.28
- 6.0.27
- 5.0.32
- 4.4.30.
Fortunatamente, i clienti che utilizzano MongoDB Atlas, il servizio multi-cloud completamente gestito dell’azienda , hanno ricevuto la patch automaticamente e non devono intraprendere alcuna azione.
L'articolo Allarme CISA per vulnerabilità critica in MongoDB: MongoBleed è sotto attacco proviene da Red Hot Cyber.
Hard Power
Il libro di Roberto Arditti è un libro interessante con una tesi univoca: il potere non si contratta, si prende e si difende con le armi. Anzi, di più, la Guerra, che si fa con le armi, è per il giornalista il vero motore della Storia, quella con la esse maiuscola. Hard Power. Perchè la Guerra cambia la storia è infatti il titolo del libro che ha pubblicato con la casa editrice conservatrice Giubilei Regnani.
L’ex direttore di Formiche, editorialista di Il Tempo di Roma, ha diviso in capitoli geografici la sua dissertazione bellico-politica e la incomincia con la Russia. Della Russia Sovietica Arditti ricorda il passato e il deterrente nucleare e poi descrive I tremendi attacchi missilistici verso l’Ucraina, l’uso di droni, la potenza della macchina bellica industriale, fino l’uso della carne da macello di giovani russi non moscoviti, galeotti e senza quattrini, nelle trincee del Donbass a morire e ammazzare i forse più istruiti e sicuramente filoeuropei ucraini. Poi racconta la Cina e Taiwan un po’ alla maniera di Lucio Caracciolo, di cui è certo debitore di parte dell’analisi, quando racconta i choke points del mar della Cina e rammenta la superiorità demografica, industriale e quindi bellica cinese che prima o poi vorrà mangiarsi Taiwan prendendo di sorpresa l’America che, sola, forse sta impedendo l’esito catastrofico per il porcospino taiwanese. E poi ci parla del Congo, del Sudan, del Rwanda, cioè delle guerre per procura fatte per impossessarsi delle preziose terre rare che rendono possibili i nostri sogni digitali, ma sempre in punta di fucile o di machete. E poi giù con Libia, Cipro, Israele.
Le cose che dice sono vere, ma non convincono completamente. O almeno non paiono sufficienti a smontare la complessa Teoria di Joseph Nye sul soft power cui Arditti si richiama per differenza e contrapposizione. E non convince per un motivo centrale, perché non considera a sufficienza l’apporto che i commerci, la diplomazia, il digitale, le reti comunicative, l’innovazione tecnologica e la cybersecurity danno sia alla pace che ai conflitti, pure quelli armati, ormai risultandone inseparabili. Nell’epoca delle reti globali, infatti, il potere non si misura più soltanto con la forza militare ma sul terreno invisibile dell’informazione, dove l’intelligence, i media, la conoscenza dell’avversario e la manipolazione dei dati determinano l’equilibrio tra le potenze. Frutto dolceamaro di un cambiamento radicale che ridefinisce la natura stessa del potere che è soft, hard, harsh, ma anche wet & cyber.
IBM API Connect violabile senza credenziali: CVE critica da 9.8 scuote le aziende
IBM ha emesso un avviso di sicurezza urgente per gli utenti della sua piattaforma API Connect dopo che test interni hanno scoperto una falla di sicurezza che potrebbe esporre le applicazioni aziendali a intrusioni. La falla , identificata come CVE-2025-13915, è classificata come bypass di autenticazione.
IBM ha assegnato alla vulnerabilità un punteggio base CVSS di 9,8, classificandola come critica. Un’analisi del vettore di minaccia rivela il motivo di questo punteggio così elevato. La vulnerabilità , consente ad aggressori remoti di eludere i meccanismi di autenticazione senza bisogno di una password.
Secondo l’ avviso, la falla “potrebbe consentire a un aggressore remoto di aggirare i meccanismi di autenticazione e ottenere accesso non autorizzato all’applicazione”.
La vulnerabilità riguarda versioni specifiche della suite IBM API Connect. Si consiglia agli amministratori di verificare le proprie distribuzioni per le seguenti versioni:
- API Connect V10.0.8.0 tramite V10.0.8.5
- API Connect V10.0.11.0
IBM “raccomanda vivamente di risolvere la vulnerabilità ora tramite l’aggiornamento”. Il fornitore ha rilasciato correzioni provvisorie (iFix) per le versioni interessate, tra cui patch per la versione 10.0.8.x e la versione 10.0.11.
Per le organizzazioni che non possono disattivare immediatamente i sistemi per applicare la patch, IBM ha offerto una mitigazione temporanea.
Gli amministratori possono “disabilitare la registrazione self-service sul proprio Portale Sviluppatori, se abilitata”, il che, come sottolinea IBM, “aiuterà a ridurre al minimo l’esposizione a questa vulnerabilità” fino all’applicazione di una correzione permanente.
L'articolo IBM API Connect violabile senza credenziali: CVE critica da 9.8 scuote le aziende proviene da Red Hot Cyber.
Fabrizio
in reply to Informa Pirata • • •non so' perché ma questa cosa non mi piace molto.
Non vedo l'ora che RISC-V sia più accessibile, ottimizzata e competitiva, perché ormai la scelta si assottiglia sempre di più e si creeranno sempre più barriere.
Informa Pirata likes this.
reshared this
Informatica (Italy e non Italy 😁) e Informa Pirata reshared this.