The Privacy Post ha ricondiviso questo.

UNTREF - Sede Lynch, sábado, 18 de julio, 17:00 GMT-3 [h1]FestivAE IX | En defensa de la universidad pública[/h1] El Sábado 18 de Julio, de 17:00 a 00:00 hs, nos vemos en UNTREF - Villa Lynch (Dr. Alfredo Springolo 351). Te invitamos a una nueva jornada de encuentro, creación y conexión, donde el arte electrónico, las performances y los shows en vivo cobran protagonismo en defensa de nuestra universidad pública. Este proyecto autogestivo de la Carrera de Artes Electrónicas @aeuntref crece grac
Lug 18
FestivAE | En defensa de la universidad pública
Sab 22:00 - Dom 2:30 Europe/Rome
Vagancio Pirato

FestivAE IX | En defensa de la universidad pública


El Sábado 18 de Julio, de 17:00 a 00:00 hs, nos vemos en UNTREF - Villa Lynch (Dr. Alfredo Springolo 351).

Te invitamos a una nueva jornada de encuentro, creación y conexión, donde el arte electrónico, las performances y los shows en vivo cobran protagonismo en defensa de nuestra universidad pública.

Este proyecto autogestivo de la Carrera de Artes Electrónicas @aeuntref crece gracias al apoyo de quienes lo hacen posible: @dannaro.producciones, @ifinvestigacionesdelfuturo, @elbrotenutricion.untref y @unionuniversitariauntref.

Vamos a transformar nuestro galpón —esa casita llena de magia y conocimiento— en el escenario central donde se presentarán:

@bambipunky

@ana.vojnov

@jennitza.r

@elandro.b

@_fuegofatuo

@pipaconpan

Te esperamos para vivir la experiencia de Artes Electrónicas.

#FestivAE #ArtesElectrónicas #UNTREF #UniversidadPública

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

Juanita Larrauri Casa Cultural, sábado, 11 de julio, 13:00 GMT-3 🇦🇷 Festejamos el Día de la Independencia en Larrauri 🇦🇷 ¡Te invitamos este 11/07 a nuestra Casa Cultural a compartir un buen guiso! ❤️‍🩹 Todo lo recaudado en este evento es destinado a sostener la olla popular que llevamos adelante para las personas en situación de calle del barrio de San Telmo. 🤝 Además, vamos a estar recibiendo donaciones para el mismo fin. Con esta ola polar estamos juntando de forma urgente las donaciones de
Lug 11
Lentejazo solidario en la Juanita Larrauri Casa Cultural
Sab 18:00 Europe/Rome
Vagancio Pirato

🇦🇷 Festejamos el Día de la Independencia en Larrauri 🇦🇷
¡Te invitamos este 11/07 a nuestra Casa Cultural a compartir un buen guiso!

❤️‍🩹 Todo lo recaudado en este evento es destinado a sostener la olla popular que llevamos adelante para las personas en situación de calle del barrio de San Telmo.
🤝 Además, vamos a estar recibiendo donaciones para el mismo fin. Con esta ola polar estamos juntando de forma urgente las donaciones de ropa de abrigo, particularmente para varón.
💪 Con tu participación o colaboración estás contribuyendo a la comunidad de San Telmo!

Tenemos:

🍲 OPCIÓN 1: Porción de guiso + Empanada + Postre (queso y dulce) = $10.000.-
🍲 OPCIÓN 2: Guiso + Empanada = $9.000-
🍲 OPCIÓN 3: Guiso + Postre = $8.500-
🌱 hay opcion vegana

🎻 Show musical y clase abierta en nuestro salón

💥 ¡Y además hay premio para el ganador del BINGO!
🏆 1er premio: Quesos "La suerte"
🏆 2do premio: Una sesión de masajes suecos eutónicos

☀️ Escribinos para reservar tu porción!
-Por MD: @LARRAURICC
-Por WPP: 11 4192-5559 (Brisa)

📆 Sábado 11/07
⏰ 13 hs.
📍Cochabamba 743 - San Telmo

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

Las Deudas, sábado, 11 de julio, 12:00 GMT-3 Hola, cómo estás? Cuidar*Nos, impulso creativo. Será el próximo Encuentro Creativo que [url=https://www.instagram.com/daniela_de_sarasqueta/]@daniela_de_sarasqueta[/url] estará compartiendo en la Escuela Las Deudas. El sábado 11 de julio a las 12 hs. El y la espíritu guía de este encuentro serán las emociones, el cuidado, el tiempo y la energía de nuestro cuerpo. Les invitamos a pensarnos, cómo somos cuidados? cómo somos sostenidos? qué nos abriga?
Lug 11
Hola, cómo estás? Cuidar*Nos, impulso creativo.
Sab 17:00 Europe/Rome
Vagancio Pirato

Hola, cómo estás? Cuidar*Nos, impulso creativo.

Será el próximo Encuentro Creativo que @daniela_de_sarasqueta estará compartiendo en la Escuela Las Deudas. El sábado 11 de julio a las 12 hs.

El y la espíritu guía de este encuentro serán las emociones, el cuidado, el tiempo y la energía de nuestro cuerpo. Les invitamos a pensarnos, cómo somos cuidados? cómo somos sostenidos? qué nos abriga? qué es Sanar? qué es Cuidar?

Haremos un auto retrato mapa del cuerpo físico y lo convertiremos en un otro emocional. Usaremos el collage y técnicas de tejido para unir recuerdos, sueños, deseos y sensaciones presentes y lejanas. En esa comunión celebraremos el tiempo compartido preparando una bebida que también se volverá cuidado transformando lo dulce en agrio y lo agrio en medicina, con el deseo de volver a vernos pronto. Así daremos vida al mundo sutil que habita en nosotros.
Salud

-

Daniela de Sarasqueta es artista, herborista fermentista, instructora de Yôga antiguo, arquitecta y docente en la Facultad de Arquitectura Diseño y Urbanismo de Buenos Aires. Con una metodología experimental y autodidacta, su práctica creativa nace y se construye en las emociones y la intuición, investiga aspectos de la salud y los procesos de sanación energética, los saberes populares artesanales y la naturaleza.

Desde 2006 coordina una serie de Encuentros Creativos en torno a la salud emocional, Prácticas Guiadas de sanación energética con plantas y acciones creativas y Proyectos de creación colaborativa como la Ronda que gira y Silbido Eterno.

Inscripciones abiertas desde link en bio. Más info por mensaje directo o mail a escuelalasdeudas@gmail.com

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

Parque de la Estación, sábado, 15 de agosto, 14:00 GMT-3 ₪ ℂ𝕆𝕃𝔼ℂ𝕋𝔸 𝗦𝗢𝗟𝗜𝗗𝗔𝗥𝗜𝗔 ₪ 𝗙𝗲𝗿𝗶𝗮 𝗠𝗜𝗚𝗥𝗔 ₪ 𝐀𝐬𝐨𝐜𝐢𝐚𝐜𝐢ó𝐧 𝐕𝐞𝐜𝐢𝐧𝐨𝐬 𝐲 𝐯𝐞𝐜𝐢𝐧𝐚𝐬 𝐩𝐨𝐫 𝐞𝐥 𝐩𝐚𝐫𝐪𝐮𝐞 𝐝𝐞 𝐥𝐚 𝐞𝐬𝐭𝐚𝐜𝐢ó𝐧. El 𝐒Á𝐁𝐀𝐃𝐎 𝟏𝟓 𝐘 𝐃𝐎𝐌𝐈𝐍𝐆𝐎 𝟏𝟔 𝐃𝐄 𝐀𝐆𝐎𝐒𝐓𝐎, cuando vengas a la 𝗠𝗜𝗚𝗥𝗔, traé con vos 𝗮𝗹𝗶𝗺𝗲𝗻𝘁𝗼𝘀 𝗻𝗼 𝗽𝗲𝗿𝗲𝗰𝗲𝗱𝗲𝗿𝗼𝘀 y sumate a ayudar comedores del barrio de Almagro. [url=https://www.instagram.com/parquedelaestacion/]@parquedelaestacion[/url] es el resultado de años de asamblea, de vecinos y vecinas que se juntaron a reclamar lo que faltaba en Balvanera y A
Ago 15
Migra: Feria de Arte Impreso + Colecta solidaria
Sab 19:00 - Lun 0:00 Europe/Rome
Vagancio Pirato

₪ ℂ𝕆𝕃𝔼ℂ𝕋𝔸 𝗦𝗢𝗟𝗜𝗗𝗔𝗥𝗜𝗔 ₪
𝗙𝗲𝗿𝗶𝗮 𝗠𝗜𝗚𝗥𝗔 ₪ 𝐀𝐬𝐨𝐜𝐢𝐚𝐜𝐢ó𝐧 𝐕𝐞𝐜𝐢𝐧𝐨𝐬 𝐲 𝐯𝐞𝐜𝐢𝐧𝐚𝐬 𝐩𝐨𝐫 𝐞𝐥 𝐩𝐚𝐫𝐪𝐮𝐞 𝐝𝐞 𝐥𝐚 𝐞𝐬𝐭𝐚𝐜𝐢ó𝐧.

El 𝐒Á𝐁𝐀𝐃𝐎 𝟏𝟓 𝐘 𝐃𝐎𝐌𝐈𝐍𝐆𝐎 𝟏𝟔 𝐃𝐄 𝐀𝐆𝐎𝐒𝐓𝐎, cuando vengas a la 𝗠𝗜𝗚𝗥𝗔, traé con vos 𝗮𝗹𝗶𝗺𝗲𝗻𝘁𝗼𝘀 𝗻𝗼 𝗽𝗲𝗿𝗲𝗰𝗲𝗱𝗲𝗿𝗼𝘀 y sumate a ayudar comedores del barrio de Almagro.
@parquedelaestacion es el resultado de años de asamblea, de vecinos y vecinas que se juntaron a reclamar lo que faltaba en Balvanera y Almagro: aire, espacios verdes y un lugar de encuentro.
Con organización y empuje, el resultado es un parque que inspira a la comunidad. Talleres, festivales, ferias, exposiciones, relevamiento de flora y fauna, búsqueda de semillas, entre otras actividades completamente gratuitas que reúnen al barrio.
Todo esto es posible gracias a vecinxs que continúan con la convicción de que lo que se construye entre muchos crece y perdura.

[₪ [ ₪ ] ₪]

ℂ𝕠𝕞𝕖𝕕𝕠𝕣𝕖𝕤, 𝔬𝔩𝔩𝔞𝔰 𝓎 𝓂𝑒𝓇𝑒𝓃𝒹𝑒𝓇𝑜𝓈 a los que irá destinada la colecta

✩ Olla Almagro en Parque de la Estación
✩ Olla en Plaza Velazco Ibarra
✩ Centro de Jubilados “El zorzal del Abasto”
✩ Espacio La Maraña ✩ Merendero en la Asociación Civil El Club
✩ Bachillerato Popular “Vientos del Pueblo”tc19

Tu donación puede significar un plato de comida para alguien y un aporte al cuidado colectivo y solidario en el barrio.

[₪ [ ₪ ] ₪]

✩ 𝗙𝗘𝗥𝗜𝗔 𝗠𝗜𝗚𝗥𝗔 ✩
𝐒𝐀́𝐁𝐀𝐃𝐎 𝟏𝟓 & 𝐃𝐎𝐌𝐈𝐍𝐆𝐎 𝟏𝟔 𝐃𝐄 𝐀𝐆𝐎𝐒𝐓𝐎
⤷ 14 a 21 hs ambos días.
⤷ Parque de la Estación @elparquedelaestacion
⤷ Perón 3326, Buenos Aires

[₪ [ ₪ ] ₪]

➟ 𝗣𝗨𝗕𝗟𝗜𝗖𝗔𝗥. ➟ 𝗥𝗘𝗣𝗔𝗥𝗧𝗜𝗥. ➟ 𝗥𝗘𝗣𝗘𝗧𝗜𝗥.

#feriaMIGRA #migra2026

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

La Isla Bar Cultural, jueves, 9 de julio, 20:00 GMT-3 🪆Jueves 9 de Julio en La Isla!🪆 Tocan: SYAN [url=https://www.instagram.com/syanmusica/]@syanmusica[/url] MASFE [url=https://www.instagram.com/soymasfe/]@soymasfe[/url] MATI MOTO [url=https://www.instagram.com/_matimoto_/]@_matimoto_[/url] Leen: [url=https://www.instagram.com/yosoyelesede149/]@yosoyelesede149[/url] [url=https://www.instagram.com/micaelapgarcia/]@micaelapgarcia[/url] [url=https://www.instagram.com/fakesusansontag/]@fa
Lug 10
Noche de Música y poesía en La Isla Bar cultural
Ven 1:00 Europe/Rome
Vagancio Pirato

🪆Jueves 9 de Julio en La Isla!🪆

Tocan:
SYAN
@syanmusica

MASFE
@soymasfe

MATI MOTO
@_matimoto_

Leen:
@yosoyelesede149
@micaelapgarcia
@fakesusansontag
@johan_de_requechos
@anestesiados_andamos

✉️ Entrada Gratis >>Fecha al sobre (100% para lxs musicxs) Minimo sugerido $6.000
🍸Promos en tragos.
🍛Platos calientes, comida casera, opciones sin TAAC.
🎥Videos en VHS
💿Toda esa musica que no escuchas en casi ningun bar!

¿Donde queda La Isla?
📍Venezuela 3399, Almagro.
(Venezuela y Virrey Liniers, justo en la esquina)

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

Buenos aires, jueves, 9 de julio, 18:00 GMT-3 La ciudad más linda, es también la más solidaria. Contra la violencia policial, contra la discriminación selectiva, contra la supremacía del odio, Que no Calle la solidaridad. 👉 9 de julio 👉 Que no Calle 📍35 Centro Culturales de CABA. 🖤 El 9 de Julio, más de 30 espacios culturales nos organizamos para homenajear a Mercedes Sosa y juntar donaciones que serán destinadas a distintas organizaciones sociales. Nos rebelamos a la indiferencia porque
Lug 9
Que no Calle: Festival solidario en homenaje a Mercedes Sosa
Gio 23:00 Europe/Rome
Vagancio Pirato

La ciudad más linda, es también la más solidaria.
Contra la violencia policial, contra la discriminación selectiva, contra la supremacía del odio, Que no Calle la solidaridad.
👉 9 de julio
👉 Que no Calle
📍35 Centro Culturales de CABA.

🖤 El 9 de Julio, más de 30 espacios culturales nos organizamos para homenajear a Mercedes Sosa y juntar donaciones que serán destinadas a distintas organizaciones sociales.

Nos rebelamos a la indiferencia porque nadie se salva solx

Musica en vivo, ferias, y mucho más:

Un festival solidario que homenajea el legado de La Negra Sosa.

Acércate a tu centro cultural amigo.

/// Todos los Centros culturales cuentan con programación artística, chequea los horarios de cada uno en sus redes sociales ///

Info en instagram.com/que_no_calle/

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

Melt Underground, viernes, 17 de julio, 20:00 GMT-3 Segundo encuentro sarpado de Arte Digital Data, veni a conectar con personas de la comunidad que producen arte con computadoras. Info: Viernes 17 de Julio Comienza a las 20:00hs Melt Underground - Laprida 1423 [url=https://www.instagram.com/meltunderground/]@meltunderground[/url] Tel: 00541161850008 Mail: julian.d.puppo@gmail.com Cronograma Organiza: [url=https://www.instagram.com/meltunderground/]@meltunderground[/url] Arte digital Data [
Lug 18
Arte Digital Data: II edición
Sab 1:00 Europe/Rome
Vagancio Pirato

Segundo encuentro sarpado de Arte Digital Data, veni a conectar con personas de la comunidad que producen arte con computadoras.

Info:
Viernes 17 de Julio
Comienza a las 20:00hs
Melt Underground - Laprida 1423 @meltunderground
Tel: 00541161850008
Mail: julian.d.puppo@gmail.com
Cronograma

Organiza:
@meltunderground
Arte digital Data
@aiaiai @dlcaudiovisuales

WORKSHOPS

1) Unreal Engine aplicado al VJING :
Exponentes, @vj.xrat , Martin el gato alto flash,Damian 360.
2) Artedigital, NFTS y federalismo galactico.
Exponentes : .@pamiloceirone
3) Taxonomia del beat: origen y mapa de generos por @piotromashov
4) Construcción de comunidades, Pat, irisS,Pamilo,Jpupper
5) Charla @1ri5.5 : “código en vivo
6)Mega exposición de JPupper, vibecoding, shaders

SETS AV :
1) Intro experimental "Fuego electrico" (set audiovisual experimental para bobinas de auto live codeadas y bata electrica intervenida) : @munshkr + @pablitx.png + @canopus.em + robot + @1ri5.5
2) Set av progressive @maxpereira3d
3) Set musica electronica @5A6musica
4) Set PsyTrance por @vjravenlight .

ENTRADAS :
Entra a artedigitaldata.com, hace click en el evento pineado y conseguí tu entrada. Desde la página obtendrás un QR para presentar en puerta

1)Bono contribución desde 15k (pone el precio que quieras)
2)Podes sacar la entrada GRATIS
3) Sin QR en puerta son 20k.

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

Zum #DiD nochmal ein wichtiger Artikel von @netzpolitik_feed . Den letzten Hinweis, Widerspruch gegen Tracking auf Webseiten und in Apps, kann ich nur unterstreichen. Die App von #Rossmann habe ich aufgrund des ausufernden Trackings durch Widerspruch der #Datenschutzerklärung stillgelegt. Das sollten viel mehr tun, damit sich was bewegt.

Databroker Files: Sieben Wege, um deinen Standort vor Databrokern zu schützen - netzpolitik.org
netzpolitik.org/2025/databroke…

The Privacy Post ha ricondiviso questo.

Club de Ocio: 3ª edición


El patio de Acevedo, sábado, 1 de agosto, 20:00 GMT-3 1/8 de 15 a 18hs nos volvemos a encontrar en la tercera edición del club (secta) de ocio. Está vez incursionaremos en el mundo del grabado. --- - **MATERIALES**: un tetrapack ya limpio por favor, y algún objeto punzante. Si ya tenés experiencia en grabado y querés traer otros materiales que te funcionen mejor no hay problema! --- **SI.** Va a haber una prensa de grabado ❤️ Y todo este maravilloso saber milenario nos será transmitido p
Ago 2
Club de Ocio: 3ª edición
Dom 1:00 - Dom 2:00 Europe/Rome
Vagancio Pirato

1/8 de 15 a 18hs nos volvemos a encontrar en la tercera edición del club (secta) de ocio.

Está vez incursionaremos en el mundo del grabado.

---

- **MATERIALES**: un tetrapack ya limpio por favor, y algún objeto punzante.
Si ya tenés experiencia en grabado y querés traer otros materiales que te funcionen mejor no hay problema!

---

**SI.** Va a haber una prensa de grabado ❤️
Y todo este maravilloso saber milenario nos será transmitido por
@yesicaandreasantander, profesora de artes visuales y grabadora.

---

- **GRATIS.** Si podés traer algo para compartir en la merienda.

---

Traigan amigos. También pueden usarlo como excusa para una cita low cost. Todo-friendly.

---

- ❤️ QUE ES EL CLUB DE OCIO?? ❤️

---

Una secta horizontal donde nos juntamos a realizar actividades creativas y manuales y debatimos sobre algún tema que nos movilice y desconectamos un rato de la cyber-vida.
NO HAY LIDER. TODXS SOMOS LA SECTA.
```

Questa voce è stata modificata (9 ore fa)

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

Rechtsanwalt reicht beim Bundesverfassungsgericht Eilantrag gegen drohende Wiederbelebung der #Chatkontrolle 1.0 ein: drmartinweigele704391.substack…

Jeder tut gegen Massenscans, was er kann! Das kannst du tun: fightchatcontrol.de

The Privacy Post ha ricondiviso questo.

Paper Clip l’app open per gestire metadati dei PDF su Linux


Paper Clip è un'app open source che modifica titoli, autori e metadati PDF con un’interfaccia GNOME intuitiva.
L'articolo Paper Clip l’app open per gestire metadati dei PDF su Linux proviene da Linux Easy.
E' vietato riprodurre questo articolo senza autorizzazione.
Questo feed RSS è destinato ai lettori, non agli scraper o aggregatori.
Linux Easy viene rilasciato con Licenza CC BY-NC 4....

🔗 Leggi il post completo

The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ JADEPUFFER: il primo ransomware condotto interamente da un agente AI, dalla violazione al wipe del database
#CyberSecurity
insicurezzadigitale.com/jadepu…

@informatica


JADEPUFFER: il primo ransomware condotto interamente da un agente AI, dalla violazione al wipe del database


Il ransomware ha sempre avuto un umano dietro la tastiera, o quantomeno dietro lo script. Il Threat Research Team di Sysdig sostiene di aver documentato per la prima volta il contrario: un’estorsione digitale condotta interamente, dalla ricognizione iniziale alla distruzione dei dati, da un modello linguistico di grandi dimensioni senza intervento umano diretto. L’hanno battezzata JADEPUFFER, e i log che ha lasciato dietro di sé si leggono come il diario di bordo — auto-narrato, letteralmente — di un operatore che ragiona, sbaglia, si corregge e ripiega su un piano B in 31 secondi.

Il punto d’ingresso: un server Langflow esposto


JADEPUFFER ha ottenuto l’accesso iniziale sfruttando CVE-2025-3248, una falla di mancata autenticazione nell’endpoint di validazione del codice di Langflow, popolare framework open source per costruire applicazioni e workflow di agenti basati su LLM. Il difetto permette a chiunque raggiunga il servizio di eseguire codice Python arbitrario senza credenziali. Langflow resta un bersaglio ricorrente proprio perché le sue istanze, spesso esposte in fretta e senza controlli di rete, custodiscono tipicamente chiavi API di provider AI e credenziali cloud nell’ambiente circostante — un aperitivo perfetto per chi cerca un punto d’appoggio.

Tutti i payload sono stati consegnati come Python codificato in Base64 attraverso l’endpoint RCE, e da lì l’agente ha iniziato a muoversi da solo.

Fase 1: ricognizione e razzia sull’host compromesso


Subito dopo l’esecuzione, l’LLM ha enumerato l’host (id, uname -a, hostname, interfacce di rete, processi attivi) e ha setacciato in parallelo l’ambiente per categorie di segreti: chiavi API di provider AI (OpenAI, Anthropic, DeepSeek, Gemini e altri), credenziali cloud — con una copertura esplicita dei provider cinesi (Alibaba, Aliyun, Tencent, Huawei) oltre ad AWS, GCP e Azure — wallet di criptovalute e seed phrase, credenziali e file di configurazione di database.

Ha poi scaricato il database Postgres di backend dello stesso Langflow, sondato lo spazio di indirizzi interno alla ricerca di servizi raggiungibili e, trovato un endpoint MinIO (l’archivio oggetti compatibile S3 usato per dati applicativi, backup e modelli ML) protetto solo dalle credenziali di default minioadmin:minioadmin, ha eseguito l’intero playbook di enumerazione: elenco dei bucket — incluso uno dedicato allo stato Terraform — e recupero mirato di file .env e credentials.json. Quando un tentativo iniziale con ?format=json ha restituito XML invece del JSON atteso, l’agente ha adattato all’istante il proprio parser allo schema di risposta S3 e ha rilanciato la richiesta: un dettaglio piccolo ma rivelatore, perché è esattamente il tipo di correzione che un toolkit fisso non farebbe mai da solo.

Prima di spostarsi sul bersaglio vero, ha installato una persistenza banale ma efficace: un cron job che ogni 30 minuti invia un beacon all’infrastruttura d’attacco.

Fase 2: il vero obiettivo — un server Nacos/MySQL di produzione


Gli artefatti catturati mostrano che il bersaglio reale dell’operazione non era Langflow, ma un server di produzione separato che eseguiva MySQL e Alibaba Nacos, la piattaforma di service discovery e configurazione dinamica molto diffusa nelle architetture a microservizi. Nacos porta con sé una storia documentata di bypass di autenticazione (CVE-2021-29441 e varianti correlate) e una chiave di firma JWT di default nota pubblicamente dal 2020, che in molte installazioni non viene mai cambiata, rendendo banale la falsificazione dei token.

Con accesso root al database — le cui credenziali non risultano raccolte nell’ambiente della vittima, e la cui origine resta ignota — l’agente ha inserito direttamente un amministratore backdoor nel database di Nacos. Ed è qui che emerge la sequenza più interessante dell’intera analisi Sysdig: il primo tentativo di login con l’account appena creato fallisce; 12 secondi dopo l’LLM prova contemporaneamente le credenziali di default nacos:nacos e genera un nuovo hash per una password più semplice; 19 secondi più tardi emette un payload correttivo che passa da una chiamata subprocess a un import diretto della libreria bcrypt, cancella la riga corrotta e la ricrea con l’hash generato correttamente. Il login riesce. Dal fallimento alla correzione funzionante: 31 secondi, quindici righe di codice coordinato — cancellare, diagnosticare, ricostruire, reinserire.

Segue una fase di ricognizione per un possibile container escape — scritture di test su file MySQL, tentativi di lettura di docker.sock e /proc/1/cgroup, verifica dei permessi su /proc/1/mountinfo — condotta con precisione chirurgica in circa otto minuti e chiusa da un marcatore di completamento esplicito scritto su disco. Non è il comportamento di uno script fisso: è un agente strutturato che segnala da solo di essere pronto per la fase successiva.

Cifratura, estorsione e distruzione — con un colpo di scena


L’agente ha cifrato 1.342 elementi di configurazione del servizio Nacos usando la funzione AES_ENCRYPT() di MySQL, eliminato le tabelle originali config_info e la relativa cronologia, e creato una tabella di estorsione, README_RANSOM, con la richiesta di riscatto, un indirizzo Bitcoin e un contatto ProtonMail. La nota rivendica AES-256, ma AES_ENCRYPT() di default usa AES-128-ECB salvo riconfigurazione: un dettaglio che forse esagera l’algoritmo ma non cambia l’impatto pratico.

Il colpo di scena è nella chiave: generata come base64(uuid4().bytes + uuid4().bytes), quindi sostanzialmente casuale, stampata una sola volta a schermo e mai salvata né trasmessa altrove. Anche pagando, la vittima non potrebbe recuperare nulla — l’estorsione, in questo caso, è tecnicamente impossibile da onorare. Nella fase finale, l’agente è passato dalla cancellazione di singole righe all’eliminazione di schemi di database interi, commentando nel proprio stesso codice la logica di scelta dei bersagli (“database ad alto ROI da eliminare”) come farebbe un operatore che spiega a sé stesso perché sta agendo così.

Come si fa a dire che è stata davvero un’IA


Sysdig basa la propria valutazione su quattro elementi: codice auto-narrante saturo di commenti in linguaggio naturale che spiegano il “perché” di ogni azione; diagnosi e correzione degli errori a velocità di macchina, con timestamp che mostrano una finestra di 31 secondi tra un fallimento e una correzione multi-step accurata; comprensione dimostrata di testo libero incontrato durante l’operazione, non un semplice pattern-matching; e oltre 600 payload distinti ed efficaci eseguiti in una finestra temporale compressa. Anche l’indirizzo Bitcoin usato nella nota di riscatto è curioso: è l’esempio canonico di formato Pay-to-Script-Hash che compare in tutta la documentazione per sviluppatori Bitcoin — un caso da manuale di possibile “allucinazione” di un modello che ha semplicemente riprodotto un esempio della sua base di addestramento, oppure, alternativamente, un wallet reale scelto deliberatamente dall’operatore. Sysdig non è in grado di distinguere le due ipotesi senza visibilità sul system prompt dell’agente.

Cosa cambia per chi difende


Nessuna delle tecniche usate da JADEPUFFER è nuova: è la loro concatenazione autonoma, end-to-end, contro infrastrutture esposte e trascurate, a segnare un punto di svolta. La soglia di competenza per condurre un’estorsione digitale completa si sta abbassando a quanto costa far girare un agente — e se quell’agente gira su credenziali cloud rubate (LLMjacking), il costo per l’attaccante si avvicina allo zero.

  • Applicare la patch per CVE-2025-3248 su ogni istanza Langflow e non esporre mai endpoint di validazione/esecuzione codice a Internet
  • Non fare girare server di orchestrazione AI con chiavi API di provider o credenziali cloud nell’ambiente: isolarle in un secret manager lontano da processi raggiungibili dal web
  • Cambiare la chiave di firma token di default in Nacos, non esporlo mai a Internet e impedirgli di connettersi al database di backend come root
  • Non esporre mai account amministrativi di database su Internet; applicare credenziali forti e restrizioni per IP sorgente sulle porte di gestione
  • Applicare controlli di egress così che un host applicativo compromesso non possa contattare liberamente destinazioni esterne o database di staging
  • Monitorare cron job che invocano chiamate di rete in uscita e anomalie nello User-Agent, oltre agli IoC indicati sotto

Sysdig prevede che il volume e la varietà di queste campagne aumenteranno man mano che il tooling agentico matura. Il consiglio è trattare server applicativi esposti, config store non irrobustiti e account admin di database raggiungibili da Internet come le prime superfici che verranno colpite — non più da un operatore umano con uno script, ma da un agente che scrive da solo il proprio piano d’attacco, verificandolo passo dopo passo.

Indicatori di compromissione

Nome campagna: JADEPUFFER (agentic threat actor)
Vulnerabilità d'ingresso: CVE-2025-3248 (Langflow, RCE non autenticato)
C2 / accesso iniziale: 45.131.66[.]106
Beacon di persistenza: hxxp://45.131.66[.]106:4444/beacon (cron ogni 30 minuti)
Server di staging/exfil dichiarato: 64.20.53[.]230 (InterServer, AS19318)
Bersaglio secondario: server MySQL + Alibaba Nacos esposto
Vulnerabilità sfruttata sul bersaglio: CVE-2021-29441 (Nacos auth bypass) + chiave JWT di default
Credenziali MinIO sfruttate: minioadmin:minioadmin
Tabella di estorsione: README_RANSOM
Indirizzo Bitcoin: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
Contatto: e78393397[@]proton[.]me
Dati distrutti: 1.342 elementi di configurazione Nacos + tabelle config_info/his_config_info
Chiave di cifratura: generata casualmente, mai salvata né trasmessa (dati non recuperabili)

The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ Armored Likho: la APT che spia governi ed energia con il Python stealer BusySnake
#CyberSecurity
insicurezzadigitale.com/armore…

@informatica


Armored Likho: la APT che spia governi ed energia con il Python stealer BusySnake


Un attore APT mai documentato prima, battezzato Armored Likho, sta colpendo agenzie governative e il settore elettrico in Russia, Brasile e Kazakistan con un nuovo infostealer Python chiamato BusySnake. Kaspersky, che ha pubblicato l’analisi tecnica il 3 luglio, descrive un toolkit modulare, offuscato con PyArmor Pro e in parte generato con l’assistenza di strumenti di intelligenza artificiale: un caso di scuola di come lo spionaggio informatico stia adottando l’AI-assisted malware development anche nelle campagne di fascia media.

Chi è Armored Likho


Armored Likho non è un gruppo esordiente: secondo Kaspersky, il suo profilo operativo mescola campagne a sfondo finanziario contro privati con operazioni di cyberspionaggio mirate contro organizzazioni pubbliche e infrastrutture critiche. È proprio questa doppia natura — cybercrime opportunistico e intelligence gathering mirato — a rendere l’attribuzione complessa e la minaccia particolarmente insidiosa: la stessa toolchain può colpire un privato cittadino per rubare credenziali bancarie o un ministero per sottrarre documenti riservati.

I ricercatori segnalano possibili sovrapposizioni con un cluster tracciato da BI.ZONE con il nome Eagle Werewolf, attivo almeno dal maggio 2023 e storicamente focalizzato su enti governativi e della difesa, in particolare organizzazioni coinvolte nello sviluppo e nella produzione di droni (UAV). Nel febbraio 2026 Eagle Werewolf era già stato osservato compromettere un canale Telegram dedicato al mondo dei droni per distribuire il RAT AquilaRAT tramite un dropper Rust travestito da checklist per l’attivazione di dispositivi Starlink. Le sovrapposizioni tecniche tra AquilaRAT e BusySnake — stessi schemi di ricezione dei task dal C2, stessa modalità di persistenza tramite scheduled task, endpoint di comunicazione simili — rafforzano l’ipotesi che si tratti dello stesso ecosistema di sviluppo, se non dello stesso gruppo.

La catena d’attacco


Il vettore d’ingresso resta il più classico: email di spear-phishing con esche legate a comunicazioni governative ufficiali o programmi sociali, che distribuiscono un archivio RAR contenente eseguibili droppati da un repository GitHub. Il dropper crea due file VBScript, uno dei quali cancella le tracce dell’esecuzione iniziale mentre l’altro registra un’attività pianificata (scheduled task) per lanciare lo stealer ogni cinque minuti, mascherata da un innocuo processo di sistema chiamato WindowsHelper — la stessa convenzione di naming usata da AquilaRAT con MicrosoftOfficeUpdate.

Una catena alternativa sfrutta invece file di collegamento Windows (LNK) che abusano di CVE-2025-9491 (nota anche come ZDI-CAN-25373), la vulnerabilità nella gestione degli shortcut corretta da Microsoft nel Patch Tuesday di novembre 2025 ma già sfruttata in passato da una dozzina di gruppi APT dal 2017. In questo scenario, il file LNK innesca un comando PowerShell offuscato che avvia un loader: quest’ultimo mostra un documento esca alla vittima mentre in background prepara l’ambiente per l’esecuzione del vero payload, scaricando un interprete Python 3.12 portatile, lo script get-pip.py per installare le dipendenze e un archivio contenente il payload finale module.pyw.

BusySnake Stealer: un infostealer Python pensato per l’evasione


Il cuore della campagna è BusySnake, un infostealer scritto in Python e mai documentato prima. Il codice è offuscato e cifrato con PyArmor Pro 9.2.0: il malware decripta il proprio bytecode solo nell’istante esatto in cui una funzione viene invocata, per poi ricifrarlo immediatamente dopo l’esecuzione, complicando enormemente l’analisi statica e dinamica. L’estensione .pyw gli permette inoltre di girare in background senza mai aprire una finestra di console visibile.

Dopo l’inizializzazione, che legge da un file di configurazione l’indirizzo del C2, i percorsi delle directory, gli intervalli per gli screenshot e uno user-agent dedicato, BusySnake si mette in ascolto di comandi tramite una funzione poll_task che interroga costantemente il server. Tra le capacità operative documentate da Kaspersky:

  • Furto di dati dagli appunti di sistema (clipboard)
  • Enumerazione dei file sul disco con logging dei metadati in un database locale
  • Ricerca di chiavi esadecimali a 64 caratteri nei file — un pattern tipico dei wallet di criptovalute — e relativa esfiltrazione
  • Cattura periodica di screenshot, archiviazione e invio al C2
  • Keylogging con invio ed eliminazione periodica del log
  • Furto di cookie e password da browser Chromium e Firefox, tramite lettura diretta dei file Cookies/cookies.sqlite e della master key in Login State
  • Furto di sessioni e credenziali Telegram dalla cartella tdata, previa terminazione forzata del processo telegram.exe
  • Apertura di un tunnel SSH inverso riutilizzando una chiave privata fornita dal C2 (funzionalità ereditata dal tool standalone Go2Tunnel, ora integrata nativamente nello stealer)
  • Installazione o riavvio di RustDesk per ottenere il controllo remoto, con cattura dello screenshot delle credenziali inserite dalla vittima al momento del login

Kaspersky ha inoltre individuato una versione più recente dello stealer che introduce un vero e proprio framework di gestione dei task: ogni comando ricevuto dal C2 viene assegnato a un identificativo univoco e transita attraverso quattro stati operativi — SCHEDULED, IN_PROGRESS, SUCCEEDED, FAILED — per un reporting più granulare verso l’infrastruttura d’attacco. Un dettaglio che segnala una maturazione ingegneristica non banale per un tool di questa fascia.

L’ombra dell’AI nel malware development


Un elemento che merita attenzione da parte degli analisti: secondo Kaspersky, i payload di primo stadio (loader e stager) mostrano segni di essere stati generati, almeno in parte, con l’assistenza di strumenti di intelligenza artificiale, a giudicare dalla presenza di commenti ridondanti e blocchi di codice ripetitivi tipici dell’output di modelli linguistici. Non è un caso isolato nel panorama 2026, ma conferma una tendenza: gruppi di livello medio stanno abbassando i tempi di sviluppo del malware affidandosi a copiloti AI, con tutte le implicazioni che questo comporta in termini di volume e velocità di iterazione delle campagne.

Due righe per i difensori


Per i team di detection, il caso Armored Likho offre alcuni punti di leva concreti. Il monitoraggio di scheduled task con nomi che imitano processi Microsoft legittimi (WindowsHelper, ma anche varianti simili) dovrebbe essere prioritario in ambienti governativi e OT/ICS del settore energetico. Vale la pena bloccare o ispezionare il download di interpreti Python portatili e script get-pip.py da endpoint non di sviluppo, un comportamento anomalo per la maggior parte delle postazioni impiegatizie. È inoltre opportuno verificare che la patch per CVE-2025-9491 sia stata applicata su tutta la flotta Windows, dato che il bug LNK continua a essere riciclato da attori eterogenei quasi un decennio dopo la sua prima comparsa. Infine, il traffico verso servizi di tunneling SSH inverso avviato da processi non amministrativi è un segnale da allarme immediato, così come i tentativi di reinstallazione o riavvio non richiesti di RustDesk.

Kaspersky segnala di continuare a monitorare attivamente l’evoluzione della campagna e dell’infrastruttura di rete associata: è ragionevole aspettarsi nuove varianti di BusySnake nei prossimi mesi, considerato il ritmo di sviluppo osservato finora.

Indicatori di compromissione (IoC)

# Hash MD5 (selezione)
5D5C3E483C5E544260CE98FC29FBF192  - PS1 stager
0041FD1B2358CD08DBCBC28EA8FC3D20  - EXE dropper
894332174F536C2E1EFEDA05CBA79F8B  - DLL loader
CF74AC018D158EA2C2CFA1B1D71D95BC  - LNK malevolo
C7622A1EFFA27BBFEE6D6E03D6474343  - BusySnake Stealer (PYW)
80B7700053E115D65365CE7330383320  - BusySnake Stealer (nuova versione, PYW)
6B45DDB39A6E86229348DCBBA3857E7C  - Archivio RAR con BusySnake
006887732CA4A4A46A97989CF4DEEEF6  - Archivio RAR con BusySnake
732C31ACF971A81C7E51B2A3DAE82020  - Archivio RAR con BusySnake
# Domini C2
winupdate[.]live
arvax[.]xyz
varenie[.]live
lvl99[.]store
onetoken[.]ink
winupdate[.]ink
# CVE sfruttata
CVE-2025-9491 (ZDI-CAN-25373) - Windows LNK RCE, patchata Nov 2025
# Scheduled task sospetto
WindowsHelper (persistenza BusySnake)
MicrosoftOfficeUpdate (persistenza AquilaRAT)

Fonti: Kaspersky/Securelist, The Hacker News, BI.ZONE Threat Intelligence.

The Privacy Post ha ricondiviso questo.

🇩🇪🚨 Propaganda-Alarm zur #Chatkontrolle: Die Konservativen verbreiten Panik und Falschbehauptungen.
x.com/EPPGroup/status/20733717…
x.com/echo_pbreyer/status/2073…
📢 Mailt JETZT euren Abgeordneten und stoppt die Massenscans!
⏱️ Noch bis morgen ist Zeit...
👉 fightchatcontrol.de
The Privacy Post ha ricondiviso questo.

Parque Saavedra, sábado, 11 de julio, 16:00 GMT-3 [h2]Ocurre todos los sabados a las 16hs. En caso de lluvia se mueve al bar Atilano[/h2][h1] Somos la Asamblea Interbarrial Pqe Saavedra[/h1] La asamblea vuelve a surgir en diciembre del 2020 con la asuncion de este gobierno, pero se origino en el 2001 y resurgio en otros momentos importantes del barrio, por ejemplo en 2018 cuando se intento hacer un falso entubamiento del arroyo maldonado, conflicto que ganaron lxs vecinxs via asamblea y moviliz
Lug 11
Asamblea Parque Saavedra
Sab 21:00 - 23:00 Europe/Rome
Vagancio Pirato

Ocurre todos los sabados a las 16hs. En caso de lluvia se mueve al bar Atilano


Somos la Asamblea Interbarrial Pqe Saavedra

La asamblea vuelve a surgir en diciembre del 2020 con la asuncion de este gobierno, pero se origino en el 2001 y resurgio en otros momentos importantes del barrio, por ejemplo en 2018 cuando se intento hacer un falso entubamiento del arroyo maldonado, conflicto que ganaron lxs vecinxs via asamblea y movilizacion .

Nos juntamos todos los domingos a hablar y resolver cuestiones de coyuntura nacional, internacional y especificos del barrio. Tambien hacemos ciclos de cine debate en el parque, futbol y un monton de actividades mas. Una vez por mes tenemos asamblea debate.

Te esperamos con tus manos e ideas

podes encontrarnos por instagram en instagram.com/asamblea.parques…
o entrar a nuestro grupo de whatsapp: chat.whatsapp.com/C3esxV0WGSDH…

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

Plaza Primero de Mayo, sábado, 11 de julio, 14:00 GMT-3 Nos encontramos en una nueva Asamblea de vivienda porque este ajuste NO SE AGUANTA MÁS!! Y sabemos que la unica salida es colectiva. [strong]NI UNX PIBX SIN TECHO[/strong] Basta de discriminar a las infancias en los alquileres [strong] Ni UNX MENOS SIN VIVIENDA[/strong] Solución habitacional por violencia de género YA! [strong]NI UNX LABURANTE EN LA CALLE[/strong] Solidaridad con lxs despedidxs. Podemos ayudarles! ✊🏽 [strong]¡NO A LOS
Lug 11
Asamblea de vivienda
Sab 19:00 Europe/Rome
Vagancio Pirato

Nos encontramos en una nueva Asamblea de vivienda porque este ajuste NO SE AGUANTA MÁS!! Y sabemos que la unica salida es colectiva.

NI UNX PIBX SIN TECHO
Basta de discriminar a las infancias en los alquileres

Ni UNX MENOS SIN VIVIENDA
Solución habitacional por violencia de género YA!

NI UNX LABURANTE EN LA CALLE
Solidaridad con lxs despedidxs. Podemos ayudarles!

✊🏽 ¡NO A LOS DESALOJOS! Si estás atravesando una situación de desalojo, vení para que te hagamos entre todxs el aguante, y llevarte herramientas para zafar la urgencia, mientras se organiza la resistencia.

🙋🏿‍♂️🙋🏽Acordate que por urgencias o comentarnos tu situación podés contactarnos al 11.2532.6567, pero la posta pasa acá en la Asambleas de vivienda. Te esperamos!

Si no tenés problemas de vivienda pero querés venir a dar una mano, más que bienvenidx!

Fuente: instagram.com/p/DI0y7orui3h/

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

La Urpila, Villa de Las Rosas, San Javier, Córdoba (Traslasierra), sábado, 18 de julio, 14:00 GMT-3 ## ¿Cuándo y dónde? - Son 3 sábados de encuentros de 4 hs: 9/5, 23/5 y 6/6 - En el horario de 14 a 18 - En La Urpila (Villa de las Rosas) - Inscripciones: pedí el enlace a traslahack@proton.me o accedé directamente a [url=https://framaforms.org/inscripcion-al-taller-instensivo-de-seguridad-digital-de-traslahack-mayo-y-junio-1777247753]https://framaforms.org/inscripcion-al-taller-instensivo-
Lug 18
Taller de Cuidados Digitales de Traslahack
Sab 19:00 - 23:00 Europe/Rome
Vagancio Pirato

## ¿Cuándo y dónde?

- Son 3 sábados de encuentros de 4 hs: 9/5, 23/5 y 6/6

- En el horario de 14 a 18

- En La Urpila (Villa de las Rosas)

- Inscripciones: pedí el enlace a traslahack@proton.me

o accedé directamente a framaforms.org/inscripcion-al-…

- Más info o preguntas frecuentes: traslahack.sutty.nl/2026/05/04…

- Otras dudas? Podés escribirnos a traslahack@proton.me o al 3544 307339

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

📢 We're looking for a new colleague! Do you or someone you know have experience in applying for #EU and/or national grants, as well as excellent #IT skills? Then it might be a perfect fit! 🩷

👉 More info: noyb.eu/sites/default/files/20…
👉 Apply now via: share.noyb.eu/apps/forms/s/aHr… #Hiring #Job #ApplyNow

The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Fail2ban su Linux: la configurazione giusta per proteggere davvero il server dal brute-force
#tech
spcnet.it/fail2ban-su-linux-la…
@informatica


Fail2ban su Linux: la configurazione giusta per proteggere davvero il server dal brute-force


Il rumore di fondo di internet


Basta esporre un server Linux con SSH o un pannello di login web e, nel giro di poche ore, i log di autenticazione iniziano a riempirsi di tentativi falliti: scanner automatici che provano credenziali comuni su SSH, bot che martellano i form di login di WordPress, richieste che cercano endpoint vulnerabili. Non è un attacco mirato: è rumore costante e automatizzato a cui ogni IP pubblico è esposto, ventiquattr’ore su ventiquattro.

Fail2ban resta la risposta più pragmatica a questo problema da oltre quindici anni. Osserva i file di log (o il journal di systemd), riconosce pattern di autenticazione fallita e, superata una soglia configurabile, banna l’IP a livello di firewall. È leggero, flessibile e presente nei repository di ogni distribuzione. In questo articolo vediamo come installarlo, configurarlo correttamente — evitando l’errore più comune, cioè modificare il file sbagliato — e alcune tecniche di tuning che fanno la differenza tra una protezione reale e un servizio che gira senza incidere davvero.

Come funziona, in tre concetti


Fail2ban si basa su tre elementi che vale la pena avere chiari prima di toccare la configurazione:

  • Filter: un insieme di pattern regex che riconoscono le righe di log corrispondenti a un fallimento di autenticazione.
  • Jail: combina un filtro con un percorso di log, le soglie di attivazione e l’azione da eseguire.
  • Action: cosa succede al superamento della soglia — tipicamente un ban a livello di firewall, ma può includere anche una notifica email.

Fail2ban include già filtri e jail pronti per decine di servizi: SSH, Apache, Nginx, Postfix, Dovecot e altri. Nella maggior parte dei casi basta abilitare le jail che servono e regolare pochi parametri numerici.

Installazione

# Debian / Ubuntu
sudo apt update
sudo apt install fail2ban

# Fedora / RHEL 9+ / Rocky / AlmaLinux
sudo dnf install fail2ban

# Arch Linux
sudo pacman -S fail2ban

Abilitazione e avvio del servizio:
sudo systemctl enable --now fail2ban
sudo systemctl status fail2ban

Se lo stato non riporta active (running), i log spiegano quasi sempre il motivo:
sudo journalctl -u fail2ban -n 50

Il modo corretto di configurare Fail2ban


Il primo errore, molto comune tra chi lo usa per la prima volta, è modificare direttamente /etc/fail2ban/jail.conf. Quel file viene sovrascritto ad ogni aggiornamento del pacchetto, e tutte le modifiche vanno perse silenziosamente al primo upgrade.

L’approccio corretto è creare un file separato nella directory jail.d:

sudo nano /etc/fail2ban/jail.d/custom.conf

In alternativa, si può copiare il file di default e modificare la copia:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Le impostazioni nei file sotto jail.d/ e in jail.local sovrascrivono quelle di default in jail.conf. Usate sempre uno di questi due metodi, mai il file originale.

La sezione [DEFAULT]: i parametri che contano

[DEFAULT]
bantime  = 1h
findtime = 10m
maxretry = 5
ignoreip = 127.0.0.1/8 ::1

Vale la pena capire bene ciascun valore:
  • bantime: durata del ban. Il default di molte distribuzioni è 10 minuti, decisamente troppo poco. Un’ora è un minimo ragionevole; per attaccanti persistenti si può salire a 24 ore o anche una settimana.
  • findtime: la finestra temporale in cui vengono contati i fallimenti. Con i valori di esempio, 5 fallimenti in 10 minuti fanno scattare il ban.
  • maxretry: numero di fallimenti prima del ban. 5 è ragionevole per SSH; si può scendere a 3 per una protezione più aggressiva.
  • ignoreip: IP che non verranno mai bannati. Aggiungete sempre il vostro IP qui prima di abilitare qualsiasi jail — restare bloccati fuori dal proprio server è un problema fastidioso da risolvere da remoto.

Se il server ha anche un indirizzo IPv6 pubblico, includetelo in ignoreip: Fail2ban supporta IPv6, ma alcuni filtri più datati riconoscono solo pattern IPv4, quindi vale la pena verificare che le jail intercettino entrambi i protocolli.

ignoreip = 127.0.0.1/8 ::1 VOSTRO.IP.PUBBLICO

Nota: bantime accetta anche il valore -1 per un ban permanente. Da usare con cautela, perché un errore di configurazione può bloccare IP legittimi in modo definitivo.

Jail SSH, Apache e Nginx


La jail SSH è quella più importante per la maggior parte dei server, anche se in alcune distribuzioni va abilitata esplicitamente:

[sshd]
enabled  = true
port     = ssh
logpath  = %(sshd_log)s
backend  = %(sshd_backend)s
maxretry = 3
bantime  = 1h

Se SSH è stato spostato su una porta non standard (buona pratica), aggiornate la riga port:
port = 2222

Sui sistemi basati su systemd, la variabile %(sshd_log)s punta automaticamente al journal. Sui sistemi più datati che scrivono su /var/log/auth.log o /var/log/secure, Fail2ban gestisce la differenza tramite il parametro backend.

Per i server web, Apache e Nginx attirano un tipo di abuso diverso: scanner di endpoint 404, bruteforcer di login, bot che generano richieste inutili.

# Apache
[apache-auth]
enabled  = true
logpath  = %(apache_error_log)s
maxretry = 5

[apache-badbots]
enabled  = true
logpath  = %(apache_access_log)s
maxretry = 2

# Nginx
[nginx-http-auth]
enabled  = true
logpath  = %(nginx_error_log)s
maxretry = 3

[nginx-limit-req]
enabled  = true
logpath  = %(nginx_error_log)s
maxretry = 10

La jail nginx-limit-req intercetta i client che superano i limiti impostati con limit_req nella configurazione Nginx: una combinazione utile se avete già lavorato sul tuning delle performance del web server. Se Fail2ban segnala che un percorso di log non esiste, impostatelo esplicitamente, ad esempio logpath = /var/log/nginx/error.log.

Dopo ogni modifica, ricaricate la configurazione:

sudo fail2ban-client reload

Verificare lo stato delle jail e i ban attivi

sudo fail2ban-client status
Status
|- Number of jail:      3
`- Jail list:   nginx-http-auth, sshd, apache-badbots

Per il dettaglio di una singola jail:
sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 2
|  |- Total failed:     143
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 5
   |- Total banned:     38
   `- Banned IP list:   203.0.113.7 198.51.100.22 ...

Centoquaranta tentativi falliti in pochi giorni non sono un’anomalia: su un server esposto a internet è la norma, ed è proprio per questo che Fail2ban è utile.

Ban e unban manuali sono comandi da tenere a portata di mano:

sudo fail2ban-client set sshd banip 203.0.113.99
sudo fail2ban-client set sshd unbanip 203.0.113.99

La jail recidive: bloccare chi torna


Una delle funzionalità meno usate ma più efficaci è la jail recidive, che osserva il log di Fail2ban stesso e banna in modo più severo gli IP che, dopo un ban scaduto, ricominciano subito.

[recidive]
enabled  = true
logpath  = /var/log/fail2ban.log
action   = %(action_mwl)s
bantime  = 1w
findtime = 1d
maxretry = 5

Con questa configurazione, un IP bannato 5 volte in un giorno riceve un ban di una settimana. È quanto di più vicino a una blocklist persistente di attaccanti si possa ottenere senza ricorrere a feed di threat intelligence esterni. Se il sistema non scrive su /var/log/fail2ban.log (setup solo journal), impostate backend = systemd nella jail recidive.

Testare i filtri prima di fidarsi


Prima di abilitare una jail, conviene verificare che il filtro corrisponda davvero alle righe di log presenti sul sistema:

sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

L’output mostra quante righe sono state riconosciute e quali IP sono stati estratti. Un filtro che non intercetta nulla non protegge nulla — vale soprattutto quando si scrivono filtri personalizzati per applicazioni custom, che vivono in /etc/fail2ban/filter.d/:
# /etc/fail2ban/filter.d/miaapp-auth.conf
[Definition]
failregex = ^ .* "POST /login" 401
ignoreregex =

Il tag <HOST> è obbligatorio in un filtro reale: Fail2ban lo sostituisce con una regex che cattura l’indirizzo IP da bannare. Senza, il filtro non estrae nulla di utile. Tenete la regex il più specifica possibile: un pattern troppo largo rischia di bannare traffico legittimo.

nftables e firewalld: adattare il backend


Su Debian 12+ e Ubuntu 22.04+, nftables è il backend firewall predefinito. L’azione di default di Fail2ban usa ancora iptables, che sui sistemi moderni funziona tramite il layer di compatibilità iptables-nft. Su installazioni nftables “pure”, senza quel layer, va impostata esplicitamente l’azione corretta:

[DEFAULT]
banaction = nftables-multiport
banaction_allports = nftables-allports

Su RHEL, Fedora e Rocky, dove il firewall è gestito da firewalld, serve analogamente:
[DEFAULT]
banaction = firewallcmd-rich-rules
banaction_allports = firewallcmd-allports

Verificare quale sia effettivamente attivo evita ban silenziosamente inefficaci: sudo nft list ruleset per nftables, sudo systemctl status firewalld per firewalld.

Ban persistenti e notifiche email


Per default i ban vivono in memoria e un riavvio del server li cancella tutti. Per renderli persistenti:

[DEFAULT]
dbfile     = /var/lib/fail2ban/fail2ban.sqlite3
dbpurgeage = 7d

Su Debian 12+, Ubuntu 22.04+ e Fedora 38+ il database SQLite è già abilitato per default. Questo stesso database alimenta anche la jail recidive, quindi il parametro conta doppio se la usate.

Per ricevere una notifica email ad ogni ban (richiede un setup di invio funzionante, ad esempio postfix o msmtp):

# Solo ban:
action = %(action_)s
# Ban + notifica email:
action = %(action_mw)s
# Ban + email con le righe di log rilevanti:
action = %(action_mwl)s
[DEFAULT]
destemail = voi@vostrodominio.it
sender    = fail2ban@vostroserver.it

Una configurazione di partenza completa

[DEFAULT]
bantime    = 2h
findtime   = 10m
maxretry   = 5
ignoreip   = 127.0.0.1/8 ::1
dbfile     = /var/lib/fail2ban/fail2ban.sqlite3
dbpurgeage = 7d

[sshd]
enabled  = true
port     = ssh
logpath  = %(sshd_log)s
backend  = %(sshd_backend)s
maxretry = 3
bantime  = 6h

[nginx-http-auth]
enabled  = true
logpath  = %(nginx_error_log)s
maxretry = 4

[nginx-limit-req]
enabled  = true
logpath  = %(nginx_error_log)s
maxretry = 10

[recidive]
enabled  = true
logpath  = /var/log/fail2ban.log
bantime  = 1w
findtime = 1d
maxretry = 5
sudo fail2ban-client reload
sudo fail2ban-client status

Cosa Fail2ban non risolve


Fail2ban è reattivo, non preventivo: banna dopo che l’attacco è già in corso. Non copre attacchi brute-force distribuiti su migliaia di IP diversi (con uno o due tentativi ciascuno), exploit zero-day che non generano righe di log, o attacchi a livello applicativo che non falliscono l’autenticazione in modo riconoscibile.

Per una protezione a più livelli, Fail2ban va affiancato ad autenticazione SSH tramite chiave (disabilitando del tutto l’autenticazione a password), un firewall configurato correttamente e revisioni periodiche dei log. Vale anche la pena controllare i limiti di sistema (file descriptor) se il volume di ban è elevato, per evitare che sia Fail2ban stesso a saturare le risorse.

Riferimento rapido

sudo fail2ban-client status                          # elenco jail
sudo fail2ban-client status sshd                      # stato di una jail
sudo fail2ban-client set sshd banip 1.2.3.4           # ban manuale
sudo fail2ban-client set sshd unbanip 1.2.3.4         # unban
sudo fail2ban-client reload                           # ricarica config
sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf  # test filtro
sudo tail -f /var/log/fail2ban.log                    # ban in tempo reale

Conclusione


Fail2ban è uno di quegli strumenti che si guadagnano un posto fisso su ogni server Linux esposto a internet: l’installazione richiede pochi minuti e, anche con un tuning minimo, elimina una quantità enorme di rumore da scanner SSH e probe web. La differenza pratica maggiore la fanno tre accorgimenti: impostare un bantime sensato (i 10 minuti di default sono quasi inutili), aggiungere sempre il proprio IP a ignoreip prima di abilitare le jail, e attivare la jail recidive. Da soli, questi tre passaggi migliorano drasticamente l’efficacia di Fail2ban rispetto a un’installazione lasciata ai valori di default.

Fonte originale: LinuxBlog.io – Fail2ban on Linux: Protect Your Server from Brute-Force Attacks


The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Agenti AI invisibili in Microsoft Entra: come rilevarli e prevenirli prima che diventino un rischio
#tech
spcnet.it/agenti-ai-invisibili…
@informatica


Agenti AI invisibili in Microsoft Entra: come rilevarli e prevenirli prima che diventino un rischio


Il punto cieco della governance AI: gli agenti che Entra non vede


Negli ultimi mesi ogni organizzazione con un tenant Microsoft 365 è passata da “come possiamo sfruttare l’AI” a “come possiamo controllarla”. Microsoft ha risposto irrobustendo l’integrazione degli agenti con Entra Agent ID e Copilot Studio, e anche fornitori terzi come Anthropic si stanno muovendo nella stessa direzione con connettori applicativi per M365. Il problema è che molti agenti AI sono già entrati nel tenant prima che questi meccanismi esistessero, e alcuni percorsi permettono tuttora a un’AI “non autorizzata” di operare senza lasciare traccia evidente.

Il rischio più concreto non sono gli agenti registrati e visibili in Entra, ma quelli che operano nascosti dietro identità utente legittime e dispositivi considerati attendibili. Prima di investire in controlli specifici per l’AI, vale la pena sistemare l’igiene dell’identità e la visibilità sugli endpoint. Vediamo tre scenari concreti in cui un agente AI può sfuggire al controllo, come rilevarli e come prevenirli.

Scenario 1 — Il consenso utente come porta d’accesso più semplice


Microsoft ha investito molto nell’irrobustire il flusso di consenso, imponendo il consenso amministrativo per i permessi più pericolosi. Di default esiste una deny list che copre principalmente gli scope di lettura-scrittura più sensibili, ma gli utenti possono ancora acconsentire autonomamente a scope in sola lettura come User.Read, openid, profile ed email.

Lo scope consentibile dall’utente più pericoloso per un agente AI è offline_access: consegna all’agente un refresh token, ovvero accesso persistente in background, anche quando l’utente non è più connesso.

Il punto a favore dei difensori è che questo percorso registra comunque un service principal individuabile e un record di consenso: c’è quindi una traccia da controllare.

Come rilevarlo


  • Rivedi periodicamente l’application consent history del tenant
  • Analizza gli end-user consent log per individuare consensi anomali o non richiesti dall’IT


Come prevenirlo


La mitigazione è semplice quanto efficace: disabilita completamente il consenso utente e instrada ogni richiesta di permesso attraverso l’admin consent workflow. In Entra questo si configura da Enterprise Applications > Consent and permissions > User consent settings, impostando “Do not allow user consent”.

Scenario 2 — Token senza alcuna impronta in Entra


Il secondo percorso è ancora più insidioso: un flusso guidato dall’utente che produce direttamente un token, senza passare da un vero consenso applicativo. In pratica, l’utente fornisce all’agente username e password (o un flusso equivalente), e l’agente si maschera dietro un’applicazione Microsoft first-party già fidata. In questo caso non viene creato alcun service principal né alcun record di consenso: Entra registra semplicemente un normale login utente.

Esistono diverse varianti di questo pattern, ognuna con la propria contromisura:

  • OAuth 2.0 Resource Owner Password Credentials (ROPC): un flusso legacy a singolo fattore. La difesa è imporre MFA sempre, su tutto, senza eccezioni.
  • Device Code Flow: si blocca con una semplice policy di Conditional Access dedicata.
  • Family of Client IDs (FOCI): un token emesso per un’applicazione della “famiglia” è riutilizzabile su tutte le altre applicazioni della stessa famiglia, e non esiste un interruttore per disabilitare questo comportamento. Il Conditional Access per singola app viene quindi aggirato banalmente: la mitigazione si sposta sul rilevamento, revocando i token in caso di sospetto abuso e affidandosi alla Continuous Access Evaluation, pur sapendo che la sua copertura non è universale.


Scenario 3 — Dispositivi attendibili: dove i controlli identity smettono di aiutare


Lo scenario più complesso è quello di una postazione dedicata all’AI: il classico Mac Mini nuovo di zecca comparso in una nota spese. Il dipendente lo unisce al tenant tramite hybrid join o come dispositivo conforme, e una volta effettuato il join ottiene un Primary Refresh Token (PRT) legato al TPM. L’agente gira come quell’utente e richiede silenziosamente token al Web Account Manager (WAM) broker, ottenendo una connessione persistente e sempre attiva.

Questo è il caso più difficile da chiudere: l’agente supera ogni verifica di Conditional Access perché, di fatto, è l’utente, su un dispositivo fidato. Il Token Protection lega i token al dispositivo, ma non riesce a distinguere “l’utente” da “un processo agente che gira come l’utente” sulla stessa macchina.

Prevenzione e rilevamento


La prevenzione parte dal non permettere agli utenti di unire autonomamente i propri dispositivi al tenant, supportata da policy di Conditional Access rigorose sulla compliance. Il rilevamento deve invece spostarsi sull’endpoint:

  • Advanced hunting in Microsoft Defender for Endpoint su DeviceProcessEvents (flag per browser headless, processi figli inattesi)
  • Analisi di DeviceNetworkEvents (un processo locale che contatta una API AI esterna)
  • Blocco delle app non autorizzate tramite Defender for Cloud Apps


Le fondamenta contano più dei controlli AI-specifici


Il messaggio centrale è che l’igiene dell’identità, per quanto “vecchia” come disciplina, chiude già la maggior parte di questi scenari:

  • Impostare il consenso utente su Do not allow user consent
  • Abilitare l’admin consent workflow
  • Imporre MFA ovunque, sempre, tramite Conditional Access
  • Bloccare il device-code flow con una policy dedicata
  • Limitare la possibilità per gli utenti di unire dispositivi a Entra
  • Imporre la compliance dei dispositivi via Conditional Access

La configurazione di base, però, non copre tutto: ciò che non può essere mitigato deve essere rilevato, il che significa spostare parte dell’attenzione dal piano identità a quello del dispositivo. E il Purview Data Security Posture Management (DSPM) for AI? È uno strumento genuinamente utile, ma va inquadrato correttamente: offre visibilità, non enforcement. DLP e Insider Risk vanno comunque configurati manualmente, il monitoraggio delle AI di terze parti si appoggia agli stessi endpoint ed estensioni browser già citati, le funzionalità più ricche richiedono licenze premium, e la protezione basata su etichette è cieca sui dati non etichettati. Va trattato come una rete di sicurezza aggiuntiva, non come la prima linea di difesa.

Conclusione


Se la strategia di sicurezza di un’organizzazione si basa sull’identificare gli agenti registrati in Entra, ha già perso di vista la categoria di rischio più insidiosa: quella degli agenti che operano mascherati da utenti normali. La lezione pratica per chi amministra un tenant Microsoft 365 è partire dalle basi già note — consenso, MFA, Conditional Access, compliance dei dispositivi — prima di rincorrere soluzioni AI-specifiche, e progettare i controlli assumendo che alcuni agenti stiano già operando sotto mentite spoglie di un utente reale.

Fonte: Petri IT Knowledgebase – The Agents Entra Can’t See: Detecting and Preventing Rogue AI


The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Researcher Chains a Guardrail Bypass With a Path Traversal Flaw to Access System Files in ChatGPT
#CyberSecurity
securebulletin.com/researcher-…
The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

New ARToken Phishing Kit Abuses Microsoft’s OAuth Device Code Flow to Hijack Microsoft 365 Accounts
#CyberSecurity
securebulletin.com/new-artoken…
The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Ousaban Banking Trojan Resurfaces With Steganographic PDF Lures Targeting Spain and Portugal
#CyberSecurity
securebulletin.com/ousaban-ban…
The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Researchers Chain DLL Sideloading and an RPC Flaw to Gain Root Access Inside Claude Cowork’s Sandbox
#CyberSecurity
securebulletin.com/researchers…
The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

🇩🇪🤡 Irre! Italien warnt vor der #Chatkontrolle, stimmt aber TROTZDEM zu! 🤯
Noch 2 Tage: Stoppt den Coup!
✍️ Aktiv werden: fightchatcontrol.de
📄 EU-Dokument: data.consilium.europa.eu/doc/d…
in reply to Patrick Breyer

The media in this post is not displayed to visitors. To view it, please go to the original post.

🇪🇺🤡 Insane! Italy warns against #ChatControl mass surveillance, but votes FOR it! 🤯
2 days left: Stop the coup!
✍️ Take action: fightchatcontrol.eu/#contact-t…
📄 EU doc: data.consilium.europa.eu/doc/d…
Questa voce è stata modificata (1 giorno fa)
in reply to Patrick Breyer

The media in this post is not displayed to visitors. To view it, please go to the original post.

🇫🇷🤡 Fou ! L'Italie alerte sur le #ChatControl, mais vote POUR ! 🤯
Plus que 2 jours : Stoppez le coup !
✍️ Agissez : fightchatcontrol.eu/fr/#contac…
📄 Doc UE : data.consilium.europa.eu/doc/d…
Questa voce è stata modificata (1 giorno fa)

Disreputable_Craftsman reshared this.

in reply to Patrick Breyer

The media in this post is not displayed to visitors. To view it, please go to the original post.

🇮🇹🤡 Pazzesco! L'Italia avverte sui pericoli del #ChatControl, ma vota A FAVORE! 🤯
Mancano 2 giorni: Fermiamo il colpo!
✍️ Agisci ora: fightchatcontrol.eu/it/#contact-tool
📄 Doc UE: data.consilium.europa.eu/doc/d…
Questa voce è stata modificata (1 giorno fa)
in reply to Patrick Breyer

The media in this post is not displayed to visitors. To view it, please go to the original post.

🇪🇸🤡 ¡Locura! Italia advierte sobre el #ChatControl, ¡pero vota A FAVOR! 🤯
Quedan 2 días: ¡Detén el golpe!
✍️ Actúa ahora: fightchatcontrol.eu/es/#contact-tool
📄 Doc UE: data.consilium.europa.eu/doc/d…
Questa voce è stata modificata (1 giorno fa)

Em reshared this.

in reply to Patrick Breyer

The act should have a limited scope if it is to pass.
The "only known materials" for example could be sensible as that's possible to do with hash checks without actually compromising the privacy and security of what's being shared.

Someone sharing pics of their private medical issues (for example photos of their results) shouldn't have their pics end up reviewed by systems in a readable way.

The Privacy Post ha ricondiviso questo.

☕ CYBERBRIEFING — Sabato 4 luglio 2026

👉 Leggi tutti gli aggiornamenti delle ultime 24 ore:
ilpuntocyber.rfeed.it/article.…

#newsletter #cybersecurity
@informatica

The Privacy Post ha ricondiviso questo.

Ein Rückblick auf die Woche von @annskaja über Kontrolle, Vertrauen und einen Ohrwurm:

netzpolitik.org/2026/kw-27-die…

The Privacy Post ha ricondiviso questo.

In unserem #Podcast "Off The Record" geht es zur Abwechslung mal wieder um Menschen! Daniel hat jüngst die IT-Abteilung von netzpolitik.org übernommen. Denis hat für drei Monate in der Redaktion mitgearbeitet. Wie das war, was dabei alles kaputt gegangen und neu entstanden ist, darüber sprechen wir in dieser Folge. 🎧

netzpolitik.org/podcast/und-lu…

The Privacy Post ha ricondiviso questo.

La Casita de Boedo, viernes, 10 de julio, 18:00 GMT-3 Nos juntamos todos los viernes a cocinar de manera solidaria para la gente de la zona !! Con esperanza y alegría resistimos y nos organizamos por un país más justo para todxs !!! Sumate a esta experiencia colectiva ❤️‍🔥💪‼️ La casita de boedo La Dignidad Movimiento Popular ❤️‍🔥💪‼️
Lug 10
Vianda Social Comunitaria
Ven 23:00 Europe/Rome
Vagancio Pirato
Nos juntamos todos los viernes a cocinar de manera solidaria para la gente de la zona !! Con esperanza y alegría resistimos y nos organizamos por un país más justo para todxs !!!
Sumate a esta experiencia colectiva ❤️‍🔥💪‼️
La casita de boedo
La Dignidad Movimiento Popular ❤️‍🔥💪‼️

The Privacy Post reshared this.

The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

GitHub Copilot CLI: selezione automatica del modello AI con HyDRA per task routing intelligente
#tech
spcnet.it/github-copilot-cli-s…
@informatica


GitHub Copilot CLI: selezione automatica del modello AI con HyDRA per task routing intelligente


GitHub ha aggiornato il Copilot Command Line Interface (CLI) introducendo una nuova funzionalità di selezione automatica del modello AI: a partire dal 1° luglio 2026, Copilot CLI può scegliere autonomamente il modello più adatto per ogni richiesta grazie a un sistema interno chiamato HyDRA (Hybrid Dynamic Routing Architecture). Vediamo nel dettaglio come funziona e cosa cambia per sviluppatori e amministratori di sistema.

Come funziona la selezione automatica del modello


Il cuore della novità è il routing intelligente. Quando si usa la modalità Auto in Copilot CLI, HyDRA analizza ogni richiesta lungo più dimensioni prima di scegliere il modello:

  • Profondità di ragionamento richiesta: un semplice completamento di codice non ha bisogno dello stesso modello di una diagnosi complessa di bug.
  • Complessità di generazione del codice: snippet elementari vs. architetture multi-file.
  • Difficoltà di debugging: analisi di stack trace o errori runtime con molte variabili contestuali.
  • Necessità di orchestrazione di tool: quanti tool call sono necessari e quanto complessa è la loro concatenazione.

Oltre all’analisi del task, HyDRA considera in tempo reale la disponibilità e la salute dei modelli (latenza, tasso di errore, saturazione) per garantire un’esperienza affidabile anche sotto carico elevato.

Token efficiency e cache hit rate


Uno degli obiettivi principali di HyDRA è ridurre lo spreco di token. Il sistema rispetta i confini naturali della cache: anziché spezzare il contesto in modo arbitrario, le richieste vengono strutturate per massimizzare il tasso di cache hit del prompt, riducendo la latenza complessiva e i costi.

Nei test interni di GitHub, questo approccio ha prodotto guadagni significativi di token efficiency senza regressione qualitativa: non tutti i task richiedono un modello ad alta densità di ragionamento, e selezionare il modello “giusto” per compiti semplici libera capacità per quelli complessi.

Impatto economico: sconto del 10% sugli AI credit


Per i piani a pagamento, l’uso della modalità Auto porta un beneficio economico diretto:

  • Sconto del 10% sul costo in AI credit rispetto all’uso diretto dello stesso modello.
  • Per i piani annuali legacy (Copilot Pro e Pro+) ancora su billing a premium request: lo sconto si applica al model multiplier. Ad esempio, un modello con moltiplicatore 1x consuma 0,9 premium request invece di 1.

Questo significa che scegliere Auto non è solo conveniente in termini di qualità, ma anche economicamente vantaggioso rispetto alla selezione manuale.

Deferred tool loading: meno overhead per ogni prompt


La stessa release introduce il caricamento differito dei tool (deferred tool loading). Tradizionalmente, ogni prompt includeva gli schema completi di tutti i tool disponibili, anche se la maggior parte non veniva utilizzata. Con il nuovo approccio, le definizioni dei tool vengono recuperate on demand, riducendo il numero di token inviati per ogni richiesta e accelerando l’elaborazione.

Controllo dell’utente e policy di amministrazione


La modalità automatica non significa perdita di controllo:

  • Override manuale: in qualsiasi momento è possibile usare il comando /model per selezionare esplicitamente un modello specifico o un provider diverso.
  • Policy aziendali: gli amministratori possono imporre l’uso della selezione automatica tramite policy organizzative, garantendo uniformità e rispetto dei requisiti di costo o sicurezza.
  • Accesso multi-modello: Auto sfrutta modelli da più famiglie (OpenAI, Anthropic, Mistral, ecc.) a seconda del tipo di abbonamento e delle policy configurate.


Come iniziare


Non è richiesta alcuna configurazione: basta aggiornare Copilot CLI all’ultima versione e selezionare la modalità Auto. GitHub prevede che i modelli disponibili in Auto cambieranno nel tempo, man mano che nuovi modelli saranno integrati nella piattaforma.

# Aggiorna Copilot CLI (se installato via npm)
npm update -g @github/copilot-cli

# Oppure verifica la versione corrente
gh copilot --version

# Nel CLI, seleziona la modalità Auto con il comando /model
# e poi inizia a lavorare normalmente
gh copilot suggest "come creo un Dockerfile multi-stage per .NET 8?"

Considerazioni per team e organizzazioni


Per i team che usano Copilot CLI in contesti enterprise, la funzionalità porta vantaggi concreti:

  • Prevedibilità dei costi: la combinazione di routing intelligente e sconto del 10% rende più prevedibile il consumo di AI credit per team numerosi.
  • Centralizzazione delle policy: gli admin possono gestire il comportamento del routing da un unico punto di controllo, senza che ogni sviluppatore debba configurare nulla localmente.
  • Conformità: le policy di model selection possono essere usate per rispettare requisiti di compliance (es. usare solo modelli ospitati in certi data center o appartenenti a certi vendor).


Conclusione


La selezione automatica del modello in Copilot CLI rappresenta un passo avanti significativo verso un’esperienza AI developer veramente adattiva. HyDRA non si limita a scegliere il modello “migliore” in astratto, ma lo sceglie in base al contesto reale della richiesta, ottimizzando contemporaneamente qualità, latenza e costo. Per chi usa Copilot CLI come parte del workflow quotidiano, la modalità Auto è ora la scelta di default più sensata.


Fonte: GitHub Changelog – Copilot CLI auto model selection routes based on task


The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ Pegasus spia chi indaga su Pegasus: il caso Kouloglou scuote il Parlamento Europeo
#CyberSecurity
insicurezzadigitale.com/pegasu…

@informatica


Pegasus spia chi indaga su Pegasus: il caso Kouloglou scuote il Parlamento Europeo


Si parla di:
Toggle

C’è un dettaglio che rende il caso di Stelios Kouloglou diverso da tutti gli altri scandali Pegasus degli ultimi anni: l’eurodeputato greco non era una vittima qualsiasi, ma il membro di una commissione d’inchiesta del Parlamento Europeo istituita proprio per indagare sugli abusi dello spyware commerciale. Secondo un report pubblicato il 3 luglio 2026 dal Citizen Lab dell’Università di Toronto, il telefono di Kouloglou è stato infettato con Pegasus nell’ottobre 2022 e almeno altre due volte nel marzo 2023, proprio nei momenti cruciali della stesura del rapporto finale della commissione PEGA. È la prima volta che un membro della commissione viene pubblicamente identificato come bersaglio dello stesso strumento che era chiamato a indagare.

La commissione PEGA e il suo bersaglio interno


La commissione d’inchiesta PEGA (Pegasus and Surveillance Spyware) è stata istituita dal Parlamento Europeo nel marzo 2022, dopo che un consorzio internazionale di giornalisti aveva rivelato l’uso diffuso dello spyware Pegasus di NSO Group contro giornalisti, avvocati, attivisti e politici in diversi Stati membri, tra cui Ungheria, Polonia, Spagna e Grecia. Kouloglou, giornalista ed ex parlamentare di SYRIZA, sedeva nella commissione mentre questa raccoglieva testimonianze e redigeva le prime bozze del suo rapporto, concentrate in particolare sugli abusi documentati a Cipro, Grecia, Ungheria, Polonia e Spagna.

Il fatto che proprio lui sia finito nel mirino, mentre la commissione lavorava a conclusioni che avrebbero potuto imbarazzare governi europei, ha immediatamente sollevato interrogativi sulla natura dell’attacco. Un eurodeputato in carica ha definito l’episodio “un attacco diretto allo stato di diritto”, chiedendo alla Commissione Europea di imporre limiti stringenti all’uso dello spyware nei 27 Stati membri. La Commissione, contattata dai giornalisti, non ha risposto.

Timeline degli attacchi: due finestre, due momenti chiave


Il Citizen Lab ha ricostruito con precisione forense due finestre di compromissione, entrambe coincidenti con fasi decisive del lavoro della commissione:

  • 21 ottobre 2022 — Prima infezione confermata, nel pieno delle discussioni via email e messaggistica di ottobre-novembre 2022, in vista della consegna della prima bozza del rapporto sugli abusi in Cipro, Grecia, Ungheria, Polonia e Spagna. Il momento coincide inoltre con un ricovero ospedaliero di Kouloglou per un intervento chirurgico programmato, circostanza che potrebbe aver permesso agli operatori dello spyware di intercettare anche conversazioni ambientali relative alla sua salute o scambi con i visitatori.
  • 6-7 marzo 2023 — Due ulteriori infezioni, mentre Kouloglou viaggiava da Atene a Bruxelles per le audizioni della commissione, mesi prima dell’adozione finale del rapporto scritto.

Kouloglou ha raccontato ai giornalisti di TechCrunch la rabbia provata nello scoprire la compromissione: “Ti rendi conto che tutti i tuoi dati personali sono stati presi — non solo gli scambi professionali o i messaggi con i ministri, ma anche le cose molto private, i momenti felici e quelli tristi”. L’eurodeputato ha annunciato l’intenzione di citare in giudizio NSO Group.

PWNYOURHOME: l’exploit zero-click che passa da HomeKit


Dal punto di vista tecnico, l’infezione del 2022 sfrutta una catena di exploit già documentata dal Citizen Lab in precedenti ricerche e nota con il nome in codice PWNYOURHOME, attiva contro iOS 15 e iOS 16 a partire da ottobre 2022. Si tratta di un exploit zero-click in due fasi che colpisce due processi distinti del sistema operativo iPhone: il primo stadio prende di mira il framework HomeKit — il sistema Apple per la gestione della smart home — mentre il secondo stadio sfrutta iMessage per ottenere l’esecuzione di codice e l’installazione dello spyware.

La vulnerabilità sfruttata riguarda un problema di deserializzazione in NSKeyedUnarchiver, una classe già abusata in precedenti catene di exploit zero-click contro iMessage. Poiché non richiede alcuna interazione da parte della vittima, il bersaglio non riceve notifiche, non deve cliccare link né aprire allegati: lo spyware si installa silenziosamente, consentendo l’accesso a messaggi, cronologia delle chiamate, dati di geolocalizzazione, foto e — nel caso dei modelli più recenti — anche all’attivazione da remoto di microfono e fotocamera.

Apple ha corretto le falle sfruttate da PWNYOURHOME con il rilascio di iOS 16.3.1, introducendo tra l’altro un nuovo controllo che rifiuta di decodificare determinati messaggi HomeKit a meno che non provengano da una fonte plausibile. Il problema, come spesso accade con gli attacchi Pegasus, è che l’aggiornamento correttivo non era ancora installato sul dispositivo di Kouloglou al momento dell’attacco dell’ottobre 2022 — una finestra di esposizione che gli operatori dello spyware hanno sfruttato attivamente.

Un cliente governativo con licenza multi-paese


Il Citizen Lab non ha attribuito pubblicamente l’attacco a un governo specifico, ma un dettaglio tecnico rende il quadro più inquietante: l’indirizzo email utilizzato come vettore d’infezione da chi ha colpito Kouloglou è lo stesso già osservato in una precedente campagna che aveva infettato i telefoni di giornalisti in diversi paesi europei. Il riutilizzo dello stesso indirizzo — e quindi, presumibilmente, della stessa infrastruttura di comando e controllo — suggerisce che il cliente governativo di NSO Group disponesse di un’autorizzazione per operare lo spyware Pegasus contro bersagli in più Stati membri dell’Unione Europea, non in uno soltanto.

Questo elemento è cruciale per il dibattito politico che ne è seguito: se la licenza NSO copre operazioni cross-border all’interno dello spazio europeo, i meccanismi di controllo nazionale sull’export e sull’uso dello spyware — già ritenuti insufficienti dallo stesso rapporto PEGA — risultano ancora più permeabili di quanto documentato finora.

NSO Group tra sanzioni USA e tentativi di riabilitazione


NSO Group resta in gran parte bandita dall’uso governativo negli Stati Uniti, a seguito di un ordine esecutivo dell’amministrazione Biden che vieta l’impiego federale di spyware commerciale capace di violare i diritti umani. Nel 2025 l’azienda israeliana ha confermato che un gruppo di investitori statunitensi non identificato ha versato decine di milioni di dollari nella società, in quella che gli osservatori hanno letto come un tentativo di riabilitare il marchio NSO in vista di un possibile ingresso nel mercato americano — un percorso già criticato per la scarsa trasparenza degli impegni dichiarati dall’azienda.

Il caso Kouloglou arriva quindi in un momento delicato: mentre NSO cerca legittimazione commerciale, un membro della stessa commissione UE nata per indagarla diventa l’ennesima prova pubblica che gli abusi non si sono fermati.

Implicazioni e due righe per i difensori


Per chi opera in ruoli ad alto rischio — parlamentari, giornalisti, avvocati per i diritti umani, ricercatori di sicurezza, dissidenti — il caso conferma alcune priorità difensive ormai consolidate ma spesso disattese:

  • Aggiornamenti tempestivi: gli exploit zero-click di Pegasus sfruttano quasi sempre vulnerabilità già note ma non ancora patchate sul dispositivo bersaglio. Applicare gli aggiornamenti iOS entro 24-48 ore dalla pubblicazione riduce drasticamente la finestra di esposizione.
  • Lockdown Mode: la modalità di isolamento introdotta da Apple su iOS disabilita molte delle superfici di attacco usate dagli exploit zero-click (inclusi determinati messaggi HomeKit e allegati iMessage complessi), ed è fortemente consigliata per soggetti ad alto rischio.
  • Verifica forense periodica: strumenti open source come Mobile Verification Toolkit (MVT), sviluppato da Amnesty International, permettono di analizzare backup iOS/Android alla ricerca di indicatori di compromissione noti legati a Pegasus e spyware simili.
  • Riavvii regolari del dispositivo: molte varianti di Pegasus non sopravvivono a un riavvio senza reinfezione, complicando la persistenza per gli attaccanti — una contromisura semplice ma efficace in assenza di altre difese.
  • Segnalazione a Citizen Lab o Access Now: chi sospetta di essere bersaglio di spyware commerciale può richiedere supporto tecnico gratuito attraverso l’Access Now Digital Security Helpline.

Il caso Kouloglou dimostra ancora una volta che lo spyware di livello statale non conosce eccezioni istituzionali: nemmeno chi indaga sugli abusi è al riparo dal diventarne bersaglio. Per il Parlamento Europeo, la domanda che resta aperta è se le raccomandazioni della stessa commissione PEGA — largamente rimaste lettera morta — troveranno finalmente attuazione concreta.

Indicatori tecnici e riferimenti

Spyware: NSO Group Pegasus
Catena di exploit: PWNYOURHOME (zero-click, iOS 15/16)
Vettori sfruttati: HomeKit (stage 1) + iMessage/NSKeyedUnarchiver (stage 2)
Patch correttiva: iOS 16.3.1

Date di compromissione confermate (dispositivo Kouloglou):
- 21 ottobre 2022
- 6 marzo 2023
- 7 marzo 2023

Strumenti di verifica consigliati:
- Mobile Verification Toolkit (MVT) - github.com/mvt-project/mvt
- Access Now Digital Security Helpline

Fonte primaria: Citizen Lab, University of Toronto
"Member of Committee Investigating Spyware Hacked With Pegasus" (3 luglio 2026)

The Privacy Post ha ricondiviso questo.

#sardegna
Contos #3 - SURRA: la rabbia sarda che non sa dove andare

un dubbio che mi tormenta da mesi: SURRA sa davvero dove vuole portarci, o si limita a urlare "no" nel vuoto?

sucontu.wordpress.com/2026/07/…

@sardegna

The Privacy Post ha ricondiviso questo.

Ein Mitglied des EU-Ausschusses zur Untersuchung von Staatstrojaner-Einsätzen #PEGA wurde mehrfach selbst infiziert — während der Ausschuss ermittelte.

netzpolitik.org/2026/fruehere-…

#pega
The Privacy Post ha ricondiviso questo.

Die Trilog-Verhandungen zur dauerhaften Chatkontrolle-Verordnung sind in der Sommerpause. Eigentlich sollten die technischen Verhandler im Juli noch zweimal tagen. Jetzt wurden beide Termine abgesagt. Im September geht's weiter. netzpolitik.org/2026/interne-d…
The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

A.E.S., il server di minigiochi open source su Luanti cerca il vostro supporto


A.E.S. è un server di minigiochi open source su Luanti, gratuito e senza pay-to-win, attivo dal 2020. Il team ha aperto una campagna donazioni su Liberapay per accelerare lo sviluppo: ecco come funziona e perché ne vale la pena.
blog.lealternative.net/2026/07…

The Privacy Post ha ricondiviso questo.

🇧🇪 19 anni, "capo" di una rete phishing europea. E ci credete davvero?

La polizia belga ha arrestato un 19enne di Anversa presentandolo come possibile "leader" di una rete di phishing e money laundering che ha già causato oltre €500.000 di danni tra Belgio e resto d'Europa. Il modus operandi è il classico combo email-esca governativa + finta chiamata bancaria + softwar...

forum.ransomfeed.it/d/5170

The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

AsyncRAT Trojan Hidden in 90+ Fake Software Download Sites via DLL Sideloading and ScreenConnect
#CyberSecurity
securebulletin.com/asyncrat-tr…
The Privacy Post ha ricondiviso questo.

Arch Install Manager il gestore software che rende Arch Linux più semplice da usare


Arch Install Manager semplifica la gestione del software su Arch Linux con un'interfaccia grafica per installazione, aggiornamenti, backup e manutenzione.
L'articolo Arch Install Manager il gestore software che rende Arch Linux più semplice da usare proviene da Linux Easy.
E' vietato riprodurre questo articolo senza autorizzazione.
Questo feed RSS è destinato ai lettori, non agli scraper o aggre...

🔗 Leggi il post completo

The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

New CitrixBleed-Class Vulnerability in Citrix NetScaler Exploited Within 24 Hours of Disclosure
#CyberSecurity
securebulletin.com/new-citrixb…
The Privacy Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

DHS Confirms Hackers Breached HSIN, the Government’s Emergency Information-Sharing Platform
#CyberSecurity
securebulletin.com/dhs-confirm…

The media in this post is not displayed to visitors. To view it, please log in.

🍀 ThePrivacyPost è un account di servizio gestito direttamente dagli amministratori di Poliverso e pubblica notizie provenienti da diversi siti, blog, account del fediverso e alcuni contenuti originali.
🩸 Se apprezzi questo servizio, prendi in considerazione la possibilità di effettuare una donazione a Poliverso. Puoi scegliere due canali:

1) Ko-Fi
2) LiberaPay 💳

Supporta Poliverso con Ko-Fi

Supporta Poliverso con LiberaPay

reshared this