Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo Unix-like è diventato il cuore pulsante di infrastrutture di networking tra le più sofisticate al mondo.

La sua stabilità, le prestazioni eccezionali e la flessibilità nell’ottimizzazione delle reti lo rendono la scelta prediletta per ambienti critici e ad alto traffico. Eppure, pochi sanno che dietro il funzionamento fluido di piattaforme come WhatsApp, alcune componenti di Netflix, le console PlayStation di Sony e persino i firewall e router di Juniper Networks, c’è proprio FreeBSD.

Grazie alla sua capacità di gestire grandi volumi di connessioni simultanee, di instradare traffico complesso e di garantire bassa latenza, FreeBSD si conferma come il “motore invisibile” delle comunicazioni digitali moderne: affidabile, potente e sorprendentemente discreto.

A quasi due anni dal rilascio della versione 14.0, il progetto FreeBSD ha rilasciato una nuova versione principale, FreeBSD 15.0. Le immagini di installazione sono ora disponibili per il download per le architetture amd64, aarch64, armv7, powerpc64, powerpc64le e riscv64.

Sono state inoltre preparate immagini per sistemi di virtualizzazione nei formati QCOW2, VHD, VMDK e raw, nonché per opzioni cloud, tra cui ambienti Amazon EC2, Google Compute Engine e Vagrant.

Allo stesso tempo, gli sviluppatori hanno aggiornato la loro policy sul ciclo di vita. A partire dal ramo 15, il periodo di supporto per i rami significativi dopo la prima versione (15.0) è stato ridotto da cinque a quattro anni, con nuovi rami principali che appariranno ogni due anni.

Le versioni intermedie (15.1, 15.2, 15.3) sono previste per essere rilasciate circa ogni sei mesi e, dato il supporto simultaneo di due rami, una nuova versione verrà rilasciata circa ogni tre mesi: 15.4, 16.1, 15.5, 16.2 e così via, con una pausa di sei mesi prima della successiva versione principale, come la 16.0. Le note di rilascio ufficiali, oltre alle nuove funzionalità della versione 15.0, riepilogano anche le modifiche precedentemente introdotte nei rami 14.1, 14.2 e 14.3.

Una delle principali modifiche introdotte nella versione 15.0 riguarda il modello di manutenzione del sistema di base. I componenti di base possono ora essere installati e aggiornati utilizzando il gestore di pacchetti pkg: i cosiddetti pacchetti pkgbase possono essere inclusi nel supporto di installazione per l’installazione offline o scaricati dal repository pkg.freebsd.org.

Nella configurazione di pkg (/etc/pkg/FreeBSD.conf), il repository FreeBSD-base è disabilitato di default, ma il nuovo metodo è già utilizzato di default nelle immagini di macchine virtuali e cloud ed è attualmente considerato sperimentale per le installazioni standard. Il programma di installazione bsdinstall offre due modalità di installazione: quella tradizionale con un sistema di base monolitico e aggiornamenti tramite freebsd-update, e una nuova opzione con pacchetti separati.

Un passo importante è stato compiuto anche verso la sicurezza della build chain. FreeBSD 15.0 può essere compilato in ambienti non privilegiati, senza privilegi di root, e sia le ISO di installazione che le immagini delle macchine virtuali possono essere create senza privilegi. Sono state implementate anche build riproducibili: i binari risultanti sono deterministici e possono essere verificati rispetto al codice sorgente, riducendo il rischio di modifiche nascoste.

La release modifica anche l’architettura. Il progetto ha interrotto la produzione di immagini di installazione e repository binari per i386, ARMv6 e PowerPC a 32 bit, lasciando ARMv7 come unica piattaforma a 32 bit supportata. Tuttavia, la possibilità di compilare localmente applicazioni a 32 bit e di utilizzare la modalità COMPAT_FREEBSD32 su un kernel a 64 bit rimarrà almeno fino alla fine del ciclo di vita del ramo FreeBSD 16.

Sono state aggiunte al kernel chiamate di sistema che implementano il meccanismo inotify compatibile con Linux per il monitoraggio delle modifiche al file system, semplificando il porting dei programmi che si basano su questo modello di notifica. Sono stati implementati attributi di file denominati in stile Solaris, fornendo un meccanismo alternativo di attributi estesi per ZFS e NFSv4: gli attributi sono memorizzati in una directory di servizio, invisibili allo spazio dei nomi normale, e sono trattati come file normali; un elenco di essi può essere recuperato, ad esempio, tramite readdir().

Il sottosistema di sicurezza ha ricevuto un nuovo strumento di gestione dei permessi. Il modulo mac_do, che consente di definire policy tramite le quali gli utenti non privilegiati possono modificare le credenziali dei processi, è stato dichiarato pronto per l’uso . L’utilità mdo, funzionalmente simile a su, è ora disponibile per l’esecuzione di comandi come un altro utente senza suid root.

Infine, FreeBSD 15.0 include un importante aggiornamento dello spazio utente e degli strumenti di sviluppo. Questo include LLVM 19.1.7, OpenSSH 10.0p2, OpenSSL 3.5.4, OpenZFS 2.4.0rc4, Lua 5.4.8, jemalloc 5.3.0, Awk 20250804 con supporto UTF-8, bc 7.1.0, unicode 16.0.0, ncurses 6.5, libarchive 3.8.2, tcpdump 4.99.5, unbound 1.24.1, less 679, file 5.46, GoogleTest 1.15.2 e altri componenti aggiornati, rendendo il ramo 15 più moderno sia per gli scenari server che desktop.

L'articolo Rilasciata FreeBSD 15.0: ecco le novità e i miglioramenti della nuova versione proviene da Red Hot Cyber.

L’evento che ha scosso il mondo il 19 ottobre 2025 non è stato un disastro naturale o un crollo finanziario, ma il clamoroso furto dei gioielli di Napoleone dal Museo del Louvre. Al di là del valore storico e artistico, per la comunità della cybersecurity, questo episodio rappresenta il più didattico e costoso caso studio di Physical Pen Test dell’anno.

Il Louvre, con i suoi protocolli di sicurezza multistrato, sensori avanzati (biometrici, sismici, a infrarossi) e un team di vigilanza d’élite, può essere concettualizzato come l‘equivalente fisico di una rete aziendale con un’architettura Zero Trust e un WAF/Firewall di ultima generazione. La sua violazione dimostra che la vera resilienza non si basa sulla singola tecnologia, ma sull’integrazione e la verifica continua di processi, persone e tecnologie.

Tutto inizia dall’Open Source Intelligence

Un attacco di successo come quello al Louvre non inizia con l’azione, ma con una meticolosa raccolta di informazioni. Questo è l’equivalente dell’Open Source Intelligence nel dominio digitale.

Gli autori del furto hanno verosimilmente speso mesi, se non anni, a studiare la “superficie d’attacco” fisica tramite un’Identificazione Passiva e Attiva. Hanno analizzato i cicli di pattugliamento, le consegne e i cambiamenti di turno, spesso individuabili tramite semplici osservazioni o fonti social inattese, oltre ai “punti ciechi” delle telecamere di sorveglianza.

Chi si occupa di cybersecurity non può non notare un parallelo diretto con le TTP di un APT che effettua un fingerprinting dei target con mappatura dei sottodomini, analisi dei metadati dei documenti pubblici e lo studio dei profili social dei dipendenti chiave per identificare tecnologie e vulnerabilità comportamentali. L’attacco avviene solo quando il Threat Model è completo e verificato. L’obiettivo non è cercare un exploit ovvio, ma costruire un modello di minaccia completo e predittivo che permetta di agire con un’alta probabilità di successo e una bassa probabilità di rilevamento.

Una volta completata la ricognizione, il passo successivo è l’ingresso. Il fatto che il caveau sia stato raggiunto senza un’effrazione fisica eclatante indica un bypass sofisticato delle difese primarie.

Dal bypass tecnologico alle persone

I sistemi di sicurezza fisica, come quelli digitali, sono vulnerabili non per la loro esistenza, ma per la loro configurazione. Aggirare un sensore di movimento con un movimento al di sotto della soglia di rilevamento o neutralizzare un allarme sfruttando una temporizzazione difettosa tra i turni, è l’equivalente di sfruttare un WAF Bypass o una vulnerabilità di HTTP Request Smuggling dove un payload ambiguo passa inosservato.

Verosimilmente potrebbe essere stata sfruttata una debolezza nel firmware di un componente di sicurezza o un difetto logico nel protocollo di comunicazione degli allarmi: il “difetto zero-day” del sistema di allarme fisico. In sostanza è stato abusato il protocollo di sicurezza piuttosto che la sua robustezza fisica.

Ma l’attacco non è completo senza affrontare l’anello più debole della catena. Qui entra in gioco l’elemento più critico e dove l’analogia con la cybersecurity è più cruda.

Le speculazioni sull’uso di uniformi contraffatte o l’infiltrazione mirata di un insider evidenziano l’efficacia della manipolazione comportamentale.

Tra Tailgating e Social Engineering

Il concetto di Tailgating o Piggybacking non è solo seguire una persona autorizzata attraverso un accesso. In questo caso si presume una forma di Tailgating Sofisticato:

• Falsa Identità Accreditata: Utilizzare abiti da manutentore o da addetto alle pulizie, ruoli con accesso ampio ma bassa sorveglianza, è l’equivalente di compromettere una Service Account a basso privilegio ma con accesso a una vasta porzione della rete interna.
• Sfruttamento della Buona Fede: Un accesso avvenuto con l’inganno si basa sulla riluttanza umana a confrontarsi con una persona che sembra “appartenere” a quell’ambiente. Questo bypassa controlli d’accesso biometrici e tesserini magnetici, sfruttando la debolezza del sistema più complesso: la percezione umana.

Puoi spendere milioni in tecnologie, ma se non testi la tua Security Awareness e le procedure di verifica del personale contro il Social Engineering, la sicurezza fallirà sempre sull’anello umano.

Superato l’ostacolo umano, il successo finale non è l’accesso, ma l’esfiltrazione dei “Crown Jewels” senza intercettazione. Muoversi all’interno del museo senza innescare gli allarmi interni o essere intercettati dalle guardie di sicurezza, l’equivalente del Blue Team / SOC, richiede la conoscenza esatta delle vie di fuga e dei punti ciechi. È necessario intraprendere un Lateral Movement non convenzionale.

Il metodo di uscita, immortalato nel video che mostra i ladri scendere utilizzando la scala del camion per i “lavori”, è emblematico, è l’analogo digitale di un Command and Control Channel mascherato in traffico legittimo come, ad esempio, DNS o ICMP Tunneling. L’esfiltrazione è stata rapida e chirurgica, minimizzando il tempo in cui i ladri erano esposti ai sensori, esattamente come un APT riduce al minimo la permanenza sulla rete dopo il raggiungimento dell’obiettivo.

La Sicurezza come Paranoia Positiva

Dall’OSINT al C2 passando per il Social Engineering, il furto al Louvre è la prova definitiva che la sicurezza, in qualsiasi dominio, non è uno stato statico, ma un processo continuo di convalida e miglioramento. La fiducia nelle barriere difensive, il “Firewall Fisico“, ha portato a una compiacenza che è stata sfruttata.

Per la comunità della cybersecurity questo evento rafforza il principio che i controlli devono essere testati regolarmente da una prospettiva offensiva. Solo un rigoroso programma di Penetration Test che simuli attacchi a 360 gradi tramite tecnologia, processi e persone può esporre le lacune che, altrimenti, verrebbero sfruttate dal prossimo APT con gli strumenti giusti.

La sicurezza fallisce sempre per mancanza di immaginazione ed i ladri del Louvre ci hanno appena ricordato di espandere la nostra

L'articolo Il furto al Louvre: quando i ladri insegnarono il Physical Pen Test a tutto il mondo proviene da Red Hot Cyber.