Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure religiose, istituzionali o di forte carisma.

Un esempio emblematico è rappresentato da profili social falsi che utilizzano l’immagine di alti prelati o persino del Papa per attirare l’attenzione dei fedeli.

Questi profili, apparentemente innocui, spesso invitano le persone a contattarli su WhatsApp o su altre piattaforme di messaggistica, fornendo numeri di telefono internazionali.
Un profilo scam su Facebook

Come funziona la truffa

I criminali informatici creano un profilo fake, come in questo caso di Papa Leone XIV. Viene ovviamente utilizzata la foto reale dello stesso Pontefice per conferire credibilità al profilo. Poi si passa alla fidelizzazione dell’utente. Attraverso post a tema religioso, citazioni, immagini di croci o Bibbie, il truffatore crea un’aura di autorevolezza che induce le persone a fidarsi.

Nei post o nella descrizione del profilo, c’è un invito al contatto privato.
Nei post o nella biografia, appare spesso un numero di WhatsApp o un riferimento a canali diretti di comunicazione. Questo passaggio serve a spostare la conversazione in uno spazio meno controllato, lontano dagli occhi delle piattaforme social.

Una volta ottenuta l’attenzione, il truffatore può chiedere donazioni per “opere benefiche”, raccogliere dati personali, o persino convincere le vittime a compiere operazioni finanziarie rischiose.

Perché è pericoloso

Le persone più vulnerabili, spinte dalla fede o dalla fiducia verso la figura religiosa, sono più inclini a credere all’autenticità del profilo. La trappola della devozione: chi crede di parlare con un cardinale o con il Papa stesso potrebbe abbassare le difese.

I dati personali: anche solo condividere il proprio numero di telefono o dati bancari espone a ulteriori rischi di furti d’identità e frodi.

Come difendersi

Diffidare sempre di profili che chiedono di essere contattati su WhatsApp o altre app con numeri privati.

Ricordare che figure istituzionali di rilievo non comunicano mai direttamente tramite profili privati o numeri di telefono personali.

Segnalare subito alle piattaforme i profili sospetti.

Non inviare mai denaro o dati sensibili a sconosciuti, anche se si presentano come autorità religiose o pubbliche.

Conclusione

Gli scammer giocano con la fiducia delle persone, mascherandosi dietro figure religiose o istituzionali per legittimare le proprie richieste. È fondamentale mantenere alta l’attenzione e diffondere consapevolezza: la fede è un valore, ma non deve mai diventare una trappola per i truffatori digitali.

L'articolo Dal Vaticano a Facebook con furore! Il miracolo di uno Scam divino! proviene da il blog della sicurezza informatica.

Modern retrocomputing tricks often push old hardware and systems further than any of the back-in-the-day developers could have ever dreamed. How about a neural network on an original Mac? [KenDesigns] does just this with a classic handwritten digit identification network running with an entire custom SDK!

Getting such a piece of hardware running what is effectively multiple decades of machine learning is as hard as most could imagine. (The MNIST dataset used wasn’t even put together until the 90s.) Due to floating-point limitations on the original Mac, there are a variety of issues with attempting to run machine learning models. One of the several hoops to jump through required quantization of the model. This also allows the model to be squeezed into the limited RAM of the Mac.

Impressively, one of the most important features of [KenDesigns] setup is the custom SDK, allowing for the lack of macOS. This allows for incredibly nitty-gritty adjustments, but also requires an entire custom installation. Not all for nothing, though, as after some training manipulation, the model runs with some clear proficiency.

If you want to see it go, check out the video embedded below. Or if you just want to run it on your ancient Mac, you’ll find a disk image here. Emulators have even been tested to work for those without the original hardware. Newer hardware traditionally proves to be easier and more compact to use than these older toys; however, it doesn’t make it any less impressive to run a neural network on a calculator!

youtube.com/embed/TM4Spec7Eaw?…

hackaday.com/2025/09/15/origin…

I ricercatori di IBM X-Force hanno scoperto nuove operazioni del gruppo cinese Hive0154, meglio noto come Mustang Panda. Gli esperti hanno documentato l’uso simultaneo di una versione avanzata della backdoor Toneshell e di un nuovo worm USB chiamato SnakeDisk, che prende di mira specificamente i dispositivi in Thailandia. Questo approccio dimostra uno sforzo mirato per penetrare anche nelle reti governative isolate della regione.

La nuova versione del malware, denominata Toneshell9, rappresenta un notevole passo avanti rispetto alle versioni precedenti, grazie a meccanismi integrati per operare attraverso server proxy aziendali, consentendo al traffico dannoso di mascherarsi da connessioni di rete legittime.

L’arsenale di Toneshell9 comprende una reverse shell duale per l’esecuzione di comandi paralleli, algoritmi di crittografia unici basati su generatori di numeri casuali modificati e tecniche di occultamento mediante l’inserimento di codice spazzatura con stringhe generate da reti neurali.

Per mantenere la presenza sulla macchina infetta, viene utilizzato il DLL Sideloading e la comunicazione con i nodi di controllo è mascherata da pacchetti di dati applicativi TLS 1.2. Il design del client consente la gestione simultanea di più server, proxy e set di chiavi. Di particolare rilievo è la capacità di leggere le impostazioni proxy dal registro di Windows, che indica una profonda conoscenza delle architetture di rete.

Allo stesso tempo, gli specialisti IBM hanno identificato un worm USB completamente nuovo, SnakeDisk. Si attiva solo quando vengono rilevati indirizzi IP in Thailandia, il che indica il targeting strategico della campagna. Le attività di SnakeDisk includono l’autopropagazione tramite supporti rimovibili, l’occultamento di file legittimi su unità flash e l’installazione della backdoor Yokai , precedentemente utilizzata negli attacchi contro funzionari thailandesi alla fine del 2024.

Questo metodo consente agli aggressori di bypassare gli air gap e penetrare in sistemi critici fisicamente separati da Internet. La tempistica della campagna coincide con l’escalation dei conflitti di confine tra Thailandia e Cambogia nel 2025, il che aggiunge ulteriore contesto politico all’attacco.

Secondo gli analisti, Hive0154 utilizza attivamente tecniche di ingegneria sociale: documenti falsificati per conto del Ministero degli Esteri del Myanmar sono stati utilizzati per distribuire archivi infetti, distribuiti tramite i servizi cloud Box e Google Drive. File dannosi scaricati da Singapore e Thailandia confermano la mirata diffusione degli attacchi nei paesi del Sud-est asiatico. Il gruppo dispone di bootloader, backdoor e famiglie di worm USB proprietari, il che ne sottolinea l’elevato livello di sviluppo.

IBM X-Force sottolinea che le azioni di Hive0154 rientrano negli interessi strategici della Cina, dove la Cambogia è un alleato chiave e la pressione sulla Thailandia sta diventando uno strumento di politica regionale. La selettività geografica di SnakeDisk dimostra che non si tratta di un’infezione di massa, ma piuttosto di una ricognizione mirata e di una raccolta di informazioni in condizioni di crescente instabilità.

Gli esperti consigliano alle organizzazioni a rischio di rafforzare le proprie difese: monitorare l’attività dei supporti rimovibili, analizzare il traffico TLS senza handshake e controllare attentamente i documenti scaricati dai servizi cloud, anche se sembrano ufficiali. Mustang Panda continua a evolversi e i suoi strumenti più recenti dimostrano che la minaccia per gli stati della regione rimane seria e in crescita.

L'articolo Mustang Panda, nuovo attacco informatico con SnakeDisk: obiettivo la Thailandia proviene da il blog della sicurezza informatica.

Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e supporto tecnico.

Questo vale per tutte le edizioni di Windows 10 versione 22H2: Home, Pro, Enterprise, Education e IoT Enterprise. L’ultimo pacchetto di patch verrà rilasciato a ottobre; successivamente, i dispositivi con questo sistema operativo rimarranno senza aggiornamenti mensili, il che aumenterà drasticamente il rischio di sfruttamento delle vulnerabilità .

Lo stesso giorno, terminerà il supporto esteso per Windows 10 2015 LTSB e Windows 10 IoT Enterprise LTSB 2015. Agli utenti vengono offerte diverse opzioni. La soluzione principale è passare a Windows 11 o utilizzare Windows 11 cloud tramite il servizio Windows 365.

Chi non è ancora pronto a cambiare sistema può connettersi al programma Aggiornamenti di Sicurezza Estesi. Per gli utenti domestici, il costo è di 30 dollari all’anno, per gli utenti aziendali di 61 dollari per dispositivo.

Allo stesso tempo, gli utenti privati possono attivarlo gratuitamente se accettano di connettere Windows Backup per la sincronizzazione dei dati nel cloud o di pagare un abbonamento utilizzando i Microsoft Rewards accumulati. Le macchine virtuali Windows 10 e i dispositivi che eseguono Windows 11 nel cloud tramite Windows 365 ricevono gli aggiornamenti tramite ESU senza costi aggiuntivi.

Esistono anche opzioni alternative: passare a versioni LTSC a lungo termine, pensate per dispositivi specializzati e supportate più a lungo. Pertanto, Windows 10 Enterprise LTSC 2021 verrà aggiornato fino a gennaio 2027, mentre la versione LTSC 2019 durerà fino a gennaio 2029. Allo stesso tempo, è previsto un supporto esteso per IoT Enterprise.

Microsoft ricorda che le date di fine del supporto possono essere verificate nella sezione “Criteri sul ciclo di vita” e “Domande frequenti“. Un elenco separato contiene tutti i prodotti che non riceveranno più aggiornamenti quest’anno.

La situazione è aggravata dal fatto che decine di milioni di dispositivi utilizzano ancora Windows 10. Secondo Statcounter, la quota di Windows 11 ad agosto 2025 si avvicinava al 50%, mentre Windows 10 detiene il 45%.

Nell’ambiente gaming, la transizione sta avvenendo più rapidamente: le statistiche di Steam registrano oltre il 60% degli utenti su Windows 11, contro il 35% del sistema precedente. Ciò significa che, sebbene l’aggiornamento sia in corso, milioni di computer rischiano di rimanere senza protezione già a metà ottobre.

L'articolo Addio a Windows 10! Microsoft avverte della fine degli aggiornamenti dal 14 Ottobre proviene da il blog della sicurezza informatica.

E’ stato presentato un innovativo strumento noto come BitlockMove, il quale mette in luce una tecnica di movimento laterale innovativa. Questa PoC sfrutta le interfacce DCOM e il dirottamento COM, entrambe funzionali a BitLocker.

Rilasciato dal ricercatore di sicurezza Fabian Mosch di r-tec Cyber Security, lo strumento consente agli aggressori di eseguire codice su sistemi remoti all’interno della sessione di un utente già connesso, evitando la necessità di rubare credenziali o impersonare account.

Questa tecnica è particolarmente subdola perché il codice dannoso viene eseguito direttamente nel contesto dell’utente bersaglio, generando meno indicatori di compromissione rispetto ai metodi tradizionali come il furto di credenziali da LSASS.

Il PoC prende di mira specificamente il BDEUILauncher Class(CLSID ab93b6f1-be76-4185-a488-a9001b105b94), che può avviare diversi processi. Uno di questi, BaaUpdate.exe, il quale risulta vulnerabile al COM hijacking se avviato con parametri specifici. Lo strumento, scritto in C#, funziona in due modalità distinte: enumerazione e attacco.

• Modalità Enum: un aggressore può utilizzare questa modalità per identificare le sessioni utente attive su un host di destinazione. Ciò consente all’autore della minaccia di selezionare un utente con privilegi elevati, come un amministratore di dominio, per l’attacco.
• Modalità di attacco: in questa modalità, lo strumento esegue l’attacco. L’aggressore specifica l’host di destinazione, il nome utente della sessione attiva, un percorso per eliminare la DLL dannosa e il comando da eseguire. Lo strumento esegue quindi il dirottamento COM remoto, attiva il payload e pulisce rimuovendo il dirottamento dal registro ed eliminando la DLL.

Monitorando specifici pattern di comportamento, i difensori sono in grado di individuare questa tecnica. Gli indicatori principali comprendono il dirottamento remoto COM del CLSID associato a BitLocker, che punta a caricare una DLL di recente creazione dalla posizione compromessa tramite BaaUpdate.exe.

I processi secondari sospetti generati da BaaUpdate.exe o BdeUISrv.exe costituiscono evidenti indicatori di un possibile attacco. Raro è il suo utilizzo per scopi legittimi, pertanto, gli esperti di sicurezza sono in grado di elaborare ricerche specifiche per verificare la presenza del processo BdeUISrv.exe, al fine di rilevarne l’eventuale natura malevola.

L'articolo BitLocker nel mirino: attacchi stealth tramite COM hijacking. PoC online proviene da il blog della sicurezza informatica.

La riservatezza e la dignità dei bambini vanno tutelate sin dalla primissima infanzia, riporta il sito del Garante privacy. È questo, in sintesi, il principio alla base del provvedimento con il quale il Garante ha vietato a un asilo nido l’ulteriore diffusione online delle foto dei piccoli ospiti (di età compresa tra i 3 e i 36 mesi) e ha ordinato la cancellazione delle immagini illecitamente trattate.

Il procedimento dell’Autorità ha fatto seguito al reclamo di un genitore che, per poter iscrivere la figlia, ha dovuto prestare il consenso alla raccolta e all’utilizzo delle immagini della bambina. Il genitore, inoltre, aveva segnalato la presenza, all’interno dell’asilo, di un sistema di videosorveglianza in funzione anche durante lo svolgimento dell’attività scolastico-educativa.

Nel corso dell’istruttoria è emerso che l’asilo aveva pubblicato sia sul sito web sia sul proprio profilo di “Google Maps” numerose immagini dei minori in diversi momenti della “giornata tipo”, anche in contesti particolarmente delicati (sonno, mensa, utilizzo dei servizi igienici, cambio pannolino, massaggi infantili).

In situazioni e attività, dunque, caratterizzate da una particolare delicatezza o destinate a rimanere riservate. Ciò senza considerare i rischi connessi alla maggiore esposizione delle immagini sul web e alla loro eventuale riutilizzabilità da parte di malintenzionati per fini illeciti o reati a danno dei minori.

Il Garante ha affermato che i trattamenti effettuati dall’asilo non avrebbero potuto trovare giuridico fondamento nel consenso dei genitori, prevalendo, comunque, il superiore interesse dei minori a non vedere pubblicate online, per promuovere l’attività dell’asilo, le fotografie che li ritraggono in momenti particolarmente intimi della loro esperienza scolastico-educativa.

Oltretutto, tale consenso non sarebbe stato considerabile come consapevole e libero, visto che, in caso di rifiuto, sarebbe stata preclusa la possibilità di iscrivere i piccoli all’asilo. Anche il sistema di videosorveglianza, che raccoglieva immagini dei minori, del personale educativo, nonché di genitori, fornitori e visitatori, era stato utilizzato senza rispettare lo Statuto dei lavoratori e la normativa privacy.

Per le numerose violazioni emerse, il Garante ha ingiunto all’asilo il pagamento di una sanzione di 10mila euro.

L'articolo Garante privacy sanziona asilo nido per uso improprio di foto dei bambini proviene da il blog della sicurezza informatica.

Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmati nei quali volti noti vengono sovrapposti a corpi estranei, spesso utilizzati per sponsorizzare investimenti finanziari o inseriti in contesti pornografici.

Un fenomeno che, purtroppo, non sorprende più per la sua presenza, ma per la rapidità con cui cresce, si diffonde e si perfeziona.

Dai siti “amatoriali” ai falsi digitali: un continuum di abusi

Chi segue il settore ha appreso di realtà come Mia moglie o Phica. Piattaforme dove l’apparente spontaneità nasconde spesso un vero e proprio mercato del corpo e dell’intimità altrui. In molti casi i video sono caricati senza il consenso delle persone ritratte.Registrazioni private sottratte, oppure contenuti condivisi in un momento di fiducia che diventano improvvisamente di dominio pubblico.

Il salto tecnologico successivo è rappresentato dai deepfake. Se nei siti amatoriali il problema era (ed è) il furto di immagini reali, oggi l’asticella si alza ulteriormente: non serve più rubare un file, basta una fotografia per costruire un video in cui la persona sembra fare o dire ciò che in realtà non ha mai fatto. È il passaggio dalla violazione della privacy alla creazione di una vera e propria realtà alternativa.

Volti noti e volti comuni: due vulnerabilità diverse

L’impatto di queste manipolazioni varia a seconda di chi ne è vittima.

I volti noti – attori, politici, influencer – sono un bersaglio privilegiato: la loro esposizione pubblica rende più facile scoprire e smascherare il falso, ma al tempo stesso amplifica il danno, perché la diffusione avviene in tempi rapidissimi e su larga scala.

Per i volti comuni, invece, la questione è ancora più insidiosa. Non avendo la stessa visibilità, non hanno nemmeno i mezzi per difendersi: difficilmente possono monitorare la rete o ottenere la rimozione tempestiva dei contenuti. In questi casi l’inganno è spesso più credibile, proprio perché non c’è un “originale” di pubblico dominio con cui confrontare il falso. La conseguenza è devastante: persone comuni che si ritrovano coinvolte in video manipolati a contenuto sessuale o in false promozioni finanziarie, con effetti distruttivi sulla loro vita privata e professionale.

Una normativa da aggiornare

Di fronte a questa realtà in continua evoluzione, il diritto appare spesso in ritardo rispetto alla tecnologia. La tradizione giuridica italiana ha già introdotto norme importanti, ma i deepfake sfuggono alle categorie giuridiche tradizionali in modo problematico. Le immagini di partenza possono essere pubbliche, i contenuti manipolati non riguardano solo la pornografia ma anche finalità finanziarie, politiche o di disinformazione sanitaria. Eppure, i danni per la persona coinvolta sono paragonabili – e in alcuni casi addirittura peggiori – rispetto alle fattispecie già previste.

Per questo, l’introduzione di norme dedicate potrebbe costituire una risposta necessaria. L’obiettivo non è moltiplicare le incriminazioni, ma individuare una disposizione e alcune aggravanti specifiche legate all’uso dell’intelligenza artificiale per manipolare l’immagine e la voce di un individuo. In questa direzione si colloca il disegno di legge n. 1146/2024, che dedica un articolo alle disposizioni penali. Il testo introduce una nuova fattispecie di reato, l’“illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale”, punita con la reclusione da uno a cinque anni nei casi in cui vengano diffusi, senza consenso, immagini, video o voci artificialmente manipolati e idonei a trarre in inganno. Accanto a ciò, il disegno di legge prevede una serie di aggravanti comuni e speciali: truffa, frode informatica, riciclaggio, autoriciclaggio, manipolazioni di mercato e persino sostituzione di persona possono essere puniti più severamente se commessi attraverso strumenti di intelligenza artificiale. Si tratta dunque di un tentativo di aggiornare il Codice penale, senza creare un corpus autonomo, ma rafforzando gli strumenti esistenti quando l’IA diventa il mezzo dell’illecito.

A livello europeo e internazionale il dibattito è già aperto: basti pensare all’AI Act in discussione a Bruxelles, che prova a stabilire regole comuni per i sistemi di intelligenza artificiale, inclusi i rischi di manipolazione audiovisiva.

Le sfide aperte: tecnologia, diritto, cultura

La lotta ai deepfake e ai video rubati non si vince con un solo strumento, ma con la sinergia di più piani di intervento. La sfida tecnologica. Servono algoritmi capaci di individuare automaticamente contenuti manipolati e di segnalarli prima che diventino virali. Alcune università e centri di ricerca stanno sviluppando watermark digitali e sistemi di tracciamento delle immagini per distinguere l’autentico dal falso. Tuttavia, è una corsa senza fine: ogni nuovo strumento di rilevazione stimola la nascita di tecniche di falsificazione più sofisticate. La sfida è quindi continua e richiede investimenti pubblici significativi, non lasciati al solo interesse privato.

La sfida giuridica. Oltre alle norme, è fondamentale l’efficacia delle procedure. Una vittima che scopre un deepfake su una piattaforma internazionale non può attendere mesi per ottenere la rimozione. Occorrono canali di urgenza, simili a quelli introdotti per i contenuti terroristici online, che permettano alle autorità di richiedere la cancellazione immediata e vincolante. In parallelo, è necessario rafforzare la cooperazione internazionale, perché i server sono spesso all’estero e i responsabili agiscono in Paesi con legislazioni meno severe.

La sfida culturale. Qui si gioca probabilmente la partita più decisiva. Una società che non sa distinguere il vero dal falso è destinata a diventare terreno fertile per manipolazioni di ogni tipo, dal gossip alla propaganda politica. Serve educazione digitale nelle scuole, programmi di alfabetizzazione per gli adulti, campagne istituzionali che spieghino i rischi e insegnino a riconoscere un contenuto manipolato. La consapevolezza critica è il miglior antidoto contro la viralità del falso.

Una sfida di civiltà

Il filo rosso che lega i siti amatoriali come Mia moglie e Phica ai deepfake più sofisticati è sempre lo stesso: l’uso non consensuale dell’immagine e dell’identità di una persona. Oggi questo non è più soltanto un problema legato alla pornografia o alla morbosità di alcuni contesti, ma una questione che riguarda la democrazia, l’economia e la convivenza civile.

Se chiunque può creare un video credibile con il volto di un politico che dichiara guerra, con quello di un imprenditore che invita a investire in una truffa, o con quello di una persona comune trascinata in uno scenario pornografico, allora è la fiducia stessa nella realtà che viene minata. Non si tratta più soltanto di tutelare la reputazione individuale, ma di preservare la coesione sociale e la possibilità di distinguere ciò che accade davvero da ciò che è artificiosamente costruito.
In questo senso, il contrasto ai deepfake e alla diffusione di video rubati rappresenta una vera sfida di civiltà. Non basta il diritto, non basta la tecnologia, non basta la cultura: serve un’alleanza che le metta insieme, con il coinvolgimento delle istituzioni, delle piattaforme e dei cittadini. È in gioco non solo la dignità dei singoli, ma la qualità della nostra vita democratica.

L'articolo Dal furto d’immagine ai deepfake: la nuova frontiera della manipolazione digitale proviene da il blog della sicurezza informatica.

I ricercatori hanno segnalato una nuova impennata di attività per ChillyHell , una backdoor modulare per macOS che si pensava fosse dormiente da anni, ma che sembra aver infettato i computer senza essere rilevata per anni. Un campione del malware è stato scoperto nel maggio 2025 su VirusTotal, sebbene tracce della sua attività risalgano almeno al 2021.

ChillyHell è scritto in C++ e prende di mira le architetture Intel. È stato studiato per la prima volta dai membri del team Mandiant nel 2023, quando hanno collegato la backdoor al gruppo UNC4487. Il team ha hackerato un sito web ucraino di assicurazioni per auto utilizzato dai dipendenti pubblici per prenotare viaggi. Nonostante la pubblicazione da parte di Mandiant, il campione in sé non è stato contrassegnato come dannoso all’epoca, il che gli ha permesso di continuare a diffondersi senza essere rilevato dai software antivirus.

Il fatto più allarmante è che la copia scoperta è risultata firmata dallo sviluppatore ed è stata autenticata da Apple nel 2021. I ricercatori di Jamf Threat Labs, Ferdous Saljuki e Maggie Zirnhelt, hanno notato che la funzionalità della versione coincide quasi completamente con il campione precedentemente descritto. Allo stesso tempo, il file è stato liberamente disponibile nella cartella pubblica di Dropbox per quattro anni e potrebbe infettare i sistemi pur rimanendo nella categoria attendibile.

Non si sa quanto fosse diffuso ChillyHell. Secondo Jaron Bradley, responsabile di Jamf Threat Labs, è “impossibile dire” quanti sistemi siano stati colpiti. In base all’architettura della backdoor, gli analisti tendono a credere che sia stata creata da un gruppo di criminali informatici e utilizzata in attacchi più mirati piuttosto che in massa. Apple ha già revocato i certificati degli sviluppatori associati a ChillyHell.

La backdoor dispone di tre meccanismi per la persistenza nel sistema. Se il programma viene avviato con privilegi utente, si registra come LaunchAgent; con privilegi elevati, si registra come LaunchDaemon. Inoltre, viene utilizzato un metodo di backup: la modifica dei file di configurazione della shell utente (.zshrc, .bash_profile o .profile), in cui è incorporato il comando di esecuzione automatica, grazie al quale ChillyHell viene attivato a ogni nuova sessione del terminale.

Per rimanere invisibile, utilizza una tattica rara per macOS chiamata timestomping , in cui ai file dannosi vengono assegnati timestamp che corrispondono a oggetti legittimi per evitare di essere notati. ChillyHell passa anche da un protocollo di comando e controllo all’altro, rendendo il rilevamento molto più difficile.

L’architettura modulare consente agli aggressori di espandere in modo flessibile le funzionalità dopo l’implementazione. La backdoor può scaricare nuove versioni di se stessa, installare componenti aggiuntivi, eseguire attacchi brute-force, salvare i nomi utente locali per futuri tentativi di hacking e avviare il furto di credenziali. Questo set la rende una piattaforma conveniente per ulteriori attacchi e per la presenza a lungo termine nel sistema.

I ricercatori sottolineano che la combinazione di meccanismi di persistenza, la varietà di protocolli di comunicazione e il design modulare rendono ChillyHell uno strumento estremamente flessibile. Fanno inoltre notare che è stato sottoposto al processo di autenticazione di Apple, a dimostrazione del fatto che i malware non sempre sono privi di firma digitale.

L'articolo La backdoor ChillyHell torna a minacciare i sistemi macOS proviene da il blog della sicurezza informatica.

Quando si parla di sicurezza delle informazioni bisogna prima prendersi un respiro e concepire che bisogna immergersi più a fondo dei sistemi informatici e delle sole informazioni direttamente espresse. Riguarda tutte le informazioni e tutti i sistemi informativi. Quindi bisogna prendere decisamente un bel respiro perché altrimenti è naturale trovarsi con qualche giramento di testa che porta a non considerare quanto viene comunicato a voce, tutto ciò che è possibile dedurre, ad esempio.

E se noi siamo in ammanco di ossigeno, chi invece sta progettando un attacco contro di noi – anzi: contro un cluster entro cui malauguratamente siamo inclusi, perché raramente potremmo essere dei fiocchi di neve speciali per un cybercriminale e comunque non sarebbe una bella cosa – ci ha già pensato su. E quando raccoglie informazioni con alcune tecniche di OSINT non è che sta applicando qualcosa di esoterico ma, volendo semplificare, sta prendendo ciò che abbiamo lasciato disordinatamente in giro per utilizzarlo contro di noi.

Infatti, il nostro pensiero fondamentale per proteggerci sempre e per pianificare un sistema di difesa efficace dovrebbe essere: qual è il peggior impiego che si può fare con queste informazioni? E lasciar galoppare il pensiero verso quegli scenari che coniugano indesiderato e possibile. Consentendo così di adottare le cautele del caso.

Possiamo ritenerla un’ovvietà, ma è il caso di ripetere il concetto: ogni informazione vale.

Se non per noi, per chi potrà farne uso contro di noi.

Fatto questo preambolo, vediamo che c’entra con l’out-of-office, ovverosia quel messaggio di risposta automatica che avvisa dell’indisponibilità temporanea di un utente.

Cosa diciamo di noi con un out-of-office.

L’informazione che deve essere veicolata con un out-of-office è che non siamo disponibili. Eventualmente, anche l’indicazione di un indirizzo per gestire le questioni pendenti e a cui inviare comunicazioni.

E fin qui, tutto giusto. Ma spesso capita di dire qualcosa di più. Dall’indicazione del periodo di indisponibilità, al motivo per cui siamo assenti. E se il primo può essere se non necessario necessitato dal contesto, la motivazione dell’assenza può costituire un problema non solo di sicurezza ma anche di privacy.

Il contenuto dell’out-of-office deve pertanto non eccedere gli scopi, quindi bene indicare il periodo d’assenza e male, se non malissimo, il motivo. Quale che sia il motivo, dall’essere senza benzina, avere una gomma a terra, il crollo della casa, l’inondazione o le cavallette…beh, comunicarlo è eccedente rispetto agli scopi dell’out-of-office.

Lato GDPR viola il principio di minimizzazione, e potrebbe anche fornire determinate informazioni del lavoratore che non dovrebbero essere diffuse (es. lo stato di salute). Lato sicurezza, vedi sopra sul fornire elementi informativi in eccesso e la capacità di un attaccante di mescolarli in un cocktail letale. O pericoloso.

Direi niente male. In pratica, con una semplice mossa come un out-of-office male impostato si va a colpire sia il lavoratore che l’organizzazione.

Regolamentare l’out-of-office prima per non pentirsi poi.

Nelle linee guida del Garante Privacy per posta elettronica e internet in ambito lavorativo, risalenti al 2007, viene indicato come contenuto del disciplinare interno l’inserimento di una specificazione circa:

le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell´attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all´attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;

fra le quali rientra mettere a disposizione del lavoratore la funzione di risposta automatica, lasciando che l’eccezione sia l’intervento del datore di lavoro mediante amministratore di sistema o altro incaricato (ad es. nel caso in cui l’assenza perduri o non sia programmata).

Questo è un modo per fornire sia informazioni trasparenti al lavoratore sia tutte le istruzioni affinché l’assenza venga gestita in modo sicuro. Ovviamente in modo chiaro, preciso. E non con giochi di specchi e leve che poi sappiamo benissimo come vanno a finire.

E se non siamo un’azienda o un’organizzazione? Non servirà redigere un disciplinare interno, ma piuttosto agire in maniera disciplinata. Tenere conto cioè di quegli elementi di rischio e non abbandonare mai comportamenti sicuri recitando quel “tanto cosa vuoi mi possa capitare“, che spesso è una sfida alla murphologia.

La quale, ricordiamo, prevede un assioma fondamentale: «Se qualcosa può andare storto, lo farà».

Fact: vale anche per un out-of-office gestito male.

L'articolo Disciplinare l’out-of-office: una buona prassi per le organizzazioni, e non solo. proviene da il blog della sicurezza informatica.

Apple ha presentato ufficialmente Memory Integrity Enforcement, un nuovo sistema di protezione della memoria che l’azienda definisce il progresso più significativo mai compiuto nella sicurezza dei sistemi operativi consumer. Ci sono voluti cinque anni per sviluppare e combinare le capacità hardware dei processori Apple Silicon con le capacità software di iOS e macOS.

Secondo gli ingegneri, ora gli utenti di iPhone 17 e iPhone Air possono contare sulla prima protezione della memoria always-on del settore, che funziona senza alcun impatto significativo sulle prestazioni. L’azienda sottolinea che, finora, nessun malware di massa è riuscito a penetrare le difese di iOS . Gli unici attacchi sistemici registrati provengono dall’arsenale di spyware commerciali utilizzati da agenzie governative e costati milioni di dollari.

L’elemento comune di tutte queste catene di hacking sono le vulnerabilità nella gestione della memoria. Queste rimangono l’obiettivo principale degli aggressori e Memory Integrity Enforcement è progettato per bloccare questo vettore di attacco.

Il nuovo meccanismo si basa su diversi livelli. Il primo passo è stato implementare allocatori di memoria sicuri: kalloc_type per il kernel, xzone malloc a livello di userland e libpas in WebKit. Questi allocatori utilizzano informazioni sul tipo per organizzare i blocchi di memoria in modo che gli aggressori non possano sovrapporre oggetti diversi. Questo rende impossibili attacchi come Buffer Overflow e Use-After-Free.

Tuttavia, gli allocatori da soli non sono sufficienti: funzionano con grandi blocchi da 16 KB e non sempre proteggono dagli attacchi all’interno di un singolo tipo. Per raggiungere questo obiettivo, Apple, insieme ad Arm, ha rielaborato la specifica Memory Tagging Extension e ne ha implementato la versione migliorata: Enhanced MTE. Ora ogni area di memoria è contrassegnata da un tag segreto e l’accesso è possibile solo in presenza di una corrispondenza. Un tentativo di accesso oltre il buffer allocato o di utilizzare un’area già liberata viene bloccato a livello di processore e il sistema termina il processo.

Per rafforzare la protezione, Apple ha introdotto il meccanismo Tag Confidentiality Enforcement. Previene la fuga di dati tramite canali di terze parti e li protegge anche dagli attacchi che utilizzano l’esecuzione speculativa. In particolare, gli ingegneri hanno eliminato tre scenari in cui era possibile estrarre dati di servizio tramite differenze nei tempi di elaborazione delle istruzioni o vulnerabilità come Spectre V1. L’iPhone 17 presenta un’ottimizzazione unica: il kernel limita gli offset dei puntatori utilizzando uno speciale pattern 0x2BAD, che elimina virtualmente la possibilità di attacchi affidabili con overrun di memoria arbitrari.

Un passo importante è stato il funzionamento sincrono e continuo di MIE. A differenza del classico MTE, in cui lo sviluppatore può abilitare la gestione differita degli errori, Apple ha sostanzialmente abbandonato questo modello, poiché lascia una finestra per gli attacchi. Il supporto hardware è fornito dai nuovi chip A19 e A19 Pro, che allocano risorse aggiuntive per l’archiviazione dei tag e l’esecuzione dei controlli.

Particolare attenzione è stata dedicata alle applicazioni di terze parti. La protezione si estende non solo ai processi di sistema e al kernel, ma anche ai programmi attraverso i quali specifici utenti vengono più spesso attaccati: messaggistica istantanea, social network e client di posta elettronica. Gli sviluppatori possono già testare EMTE in Xcode come parte del pacchetto Enhanced Security.

Il Red Team di Apple ha trascorso cinque anni cercando di aggirare MIE simulando catene di exploit vecchie e nuove . La conclusione è stata chiara: le vecchie tecniche non funzionano più. La maggior parte delle vulnerabilità diventa inutilizzabile e quelle rimanenti raramente consentono la creazione di un exploit completamente funzionante. Anche se riescono ad agganciare un bug, il resto della catena collassa e gli aggressori devono ricominciare da capo.

Apple afferma che Memory Integrity Enforcement aumenta drasticamente i costi e la complessità della creazione di spyware commerciali. Audit interni hanno dimostrato che molte tecniche utilizzate negli ultimi 25 anni non sono più applicabili. L’azienda definisce questa tecnologia il progresso più significativo nella protezione della memoria nella storia dei sistemi operativi consumer.

L'articolo Apple presenta Memory Integrity Enforcement. Sarà la fine dell’Hacking? proviene da il blog della sicurezza informatica.