Spcnet.it

2026-05-26 16:59:55

nmap su Linux: guida completa alla scansione e discovery di rete

nmap è uno degli strumenti più potenti e longevi nell’arsenale di qualsiasi sistemista Linux. Nato nel 1997, è oggi uno standard de facto per l’audit di rete, la verifica della superficie d’attacco esposta e il troubleshooting di connettività. Questa guida copre i comandi e le tecniche che un sysadmin usa davvero in produzione: niente teoria astratta, solo esempi concreti.

Nota legale: scansionate solo reti e host di vostra proprietà o per cui avete un’autorizzazione esplicita. La scansione non autorizzata può essere illegale nella vostra giurisdizione.

Installazione di nmap

nmap è disponibile nei repository di tutte le principali distribuzioni Linux:

# Debian / Ubuntu
sudo apt install nmap

# Fedora / RHEL / CentOS
sudo dnf install nmap

# Arch / Manjaro
sudo pacman -S nmap

Verificate l’installazione con:

nmap --version

Dovreste vedere qualcosa come Nmap version 7.94 o superiore. Le funzionalità più avanzate (SYN scan, OS detection) richiedono privilegi root.

Host Discovery: chi è attivo sulla rete?

Il primo passo in qualsiasi audit è capire quali host sono raggiungibili. Il ping scan usa il flag -sn, che dice a nmap di non eseguire scansioni delle porte:

nmap -sn 192.168.1.0/24

Su una LAN locale nmap usa ARP discovery, più veloce e capace di trovare dispositivi che ignorano il ping ICMP. L’output tipico è:

Nmap scan report for 192.168.1.1
Host is up (0.0011s latency).
MAC Address: A4:3E:51:XX:XX:XX (Ubiquiti Networks)

Nmap scan report for 192.168.1.10
Host is up (0.00032s latency).
MAC Address: DC:A6:32:XX:XX:XX (Raspberry Pi Trading)

È un inventario rapido: ottimo dopo aver aggiunto un nuovo dispositivo e non ricordarsi quale IP ha ottenuto dal DHCP.

Scansione delle Porte

Scansione di default

Senza flag aggiuntivi, nmap scansiona le 1.000 porte TCP più comuni. Non richiede root, ma i risultati sono meno dettagliati:

nmap 192.168.1.10

SYN Scan (Stealth Scan)

La SYN scan è la modalità default quando si esegue nmap come root. Invia un pacchetto SYN senza completare il three-way handshake TCP: più veloce e meno visibile nei log applicativi:

sudo nmap -sS 192.168.1.10

Scansione di tutte le 65.535 porte

Le 1.000 porte di default possono mancare servizi su porte non standard — MySQL su 33060, SSH spostato su 2222:

sudo nmap -sS -p- 192.168.1.10

Porte specifiche o range

# Porte specifiche
sudo nmap -p 22,80,443,3306 192.168.1.10

# Range di porte
sudo nmap -p 1-1024 192.168.1.10

UDP Scanning

L’UDP è spesso dimenticato. DNS (porta 53), SNMP (161) e NTP (123) girano su UDP e sono vettori comuni di attacco e misconfiguration:

sudo nmap -sU -p 53,161,123 192.168.1.1

Rilevamento di Servizi e Versioni

Il flag -sV esegue probe sulle porte aperte per determinare servizio e versione. È il primo scan da eseguire su un server sconosciuto:

sudo nmap -sV 192.168.1.10

Output esempio:

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6
80/tcp   open  http    nginx 1.24.0
3306/tcp open  mysql   MySQL 8.0.35

Rivela immediatamente con cosa si ha a che fare e può evidenziare software obsoleto — un win immediato per la sicurezza.

Rilevamento del Sistema Operativo

nmap può fare ipotesi sull’OS basandosi sul fingerprinting del TCP/IP stack:

sudo nmap -O 192.168.1.10

Output:

OS details: Linux 5.15 - 5.19, Linux 6.1
Network Distance: 1 hop

Non è sempre preciso su VM o dispositivi con stack TCP personalizzati, ma fornisce un segnale utile per distinguere server Linux da macchine Windows o embedded su un segmento di rete.

Aggressive Scan: tutto in uno

Il flag -A abilita OS detection, version detection, script scanning e traceroute in un colpo solo:

sudo nmap -A 192.168.1.10

Genera molto traffico e richiede tempo. Non usatelo su reti di produzione senza motivo, ma per un audit completo di un singolo host è estremamente comodo.

Nmap Scripting Engine (NSE)

L’NSE è ciò che distingue nmap da un semplice port scanner. Permette di eseguire script contro host e servizi scoperti. Gli script si trovano in /usr/share/nmap/scripts/ e coprono vulnerability detection, enumerazione di servizi e molto altro.

Verifiche pratiche

# Categoria default
sudo nmap --script=default 192.168.1.10

# Scansione vulnerabilità (più invasivo - usare deliberatamente)
sudo nmap --script=vuln 192.168.1.10

# FTP anonimo abilitato?
sudo nmap --script=ftp-anon -p 21 192.168.1.10

# Header HTTP esposti (versioni server, debug info)
sudo nmap --script=http-headers -p 80,443 192.168.1.10

# Open SMTP relay?
sudo nmap --script=smtp-open-relay -p 25 192.168.1.20

L’HTTP headers scan è sorprendentemente utile: è frequente trovare server che espongono header con versione del software e informazioni di debug che avrebbero dovuto essere rimosse.

Per elencare tutti gli script disponibili per un servizio:

ls /usr/share/nmap/scripts/ | grep -i ssh

Formati di Output

Per qualunque cosa oltre un controllo rapido, salvare l’output è fondamentale:

# Output normale su file
sudo nmap -sV 192.168.1.0/24 -oN scan_results.txt

# XML (utile per automazione e import in altri tool)
sudo nmap -sV 192.168.1.0/24 -oX scan_results.xml

# Formato grepable
sudo nmap -sV 192.168.1.0/24 -oG scan_results.gnmap

# Tutti i formati in una volta sola
sudo nmap -sV 192.168.1.0/24 -oA scan_results

Il flag -oA crea tutti e tre i file con il prefisso specificato. L’output XML si presta bene al parsing automatizzato.

Timing e Velocità

nmap dispone di sei template di timing, da T0 (lentissimo) a T5 (aggressivo). Il default è T3. Per la maggior parte delle scansioni su reti locali affidabili:

sudo nmap -sS -T4 192.168.1.0/24

Su VPN o connessioni lente, scendere a T2 evita falsi negativi causati da pacchetti persi.

Combinazioni Pratiche per Sysadmin

Questi sono i comandi che si usano davvero nel lavoro quotidiano:

# Porte aperte su un host (solo quelle definitivamente aperte)
sudo nmap -sS -T4 --open 192.168.1.10

# Trovare tutti i server SSH su una subnet
sudo nmap -p 22 --open -sV 192.168.1.0/24

# MySQL esposto sulla rete? (non dovrebbe mai esserlo)
sudo nmap -p 3306 --open 192.168.1.0/24

# Host discovery + version scan concatenati (solo host attivi)
sudo nmap -sn 192.168.1.0/24 -oG - | grep "Up" | awk '{print $2}' | sudo nmap -sV -iL -

L’ultimo comando è particolarmente potente: esegue prima un ping scan, filtra gli host attivi, poi esegue la version scan solo su di loro. Ideale per subnet grandi.

Gestione dei Target e Firewall

# Range di IP
nmap 192.168.1.1-50

# Host da file (uno per riga)
nmap -iL hosts.txt

# Escludere host dalla scansione
nmap 192.168.1.0/24 --exclude 192.168.1.1,192.168.1.5

nmap distingue tre stati delle porte: open, closed e filtered. Una porta filtered indica che un firewall sta bloccando i probe. Se vedete molte porte filtered su un server di vostra proprietà senza aspettarvelo, investigate: potrebbe essere ufw, firewalld, regole nftables o un security group del cloud provider.

Conclusione

Host discovery, port scanning, version detection, NSE scripts e salvataggio dell’output sono le fondamenta di nmap. Iniziate con -sn per la discovery, aggiungete -sV quando servono i dettagli sui servizi, portate gli script NSE quando volete approfondire. Mantenete il timing conservativo sulle reti di produzione e aggressivo nel vostro lab.

Se state verificando le regole firewall, nmap è tra i migliori strumenti per controllare che ciò che pensate sia bloccato lo sia davvero.

Fonte originale: nmap on Linux: Guide to Network Scanning and Discovery — LinuxBlog.io

nmap on Linux: Guide to Network Scanning and Discovery | LinuxBlog.io

A practical guide to nmap on Linux covering host discovery, port and service scanning, OS detection, NSE scripts, output formats, and real-world command combinations sysadmins actually use.

^{Hayden James (LinuxBlog.io)}

(in)sicurezza digitale

2026-05-26 16:57:29

Void Dokkaebi evolve InvisibleFerret: il malware nordcoreano ora usa Cython per sfuggire agli antivirus

Void Dokkaebi, il gruppo APT nordcoreano tracciato anche come Famous Chollima, ha completato una significativa evoluzione del proprio arsenale offensivo: il malware infostealer InvisibleFerret è stato ricompilato da Python a Cython, trasformando script leggibili in binari nativi che sfuggono alla quasi totalità dei meccanismi di rilevamento basati sull’analisi del codice sorgente. La ricerca pubblicata da Trend Micro a maggio 2026 rivela una campagna di spionaggio industriale di proporzioni allarmanti che colpisce sviluppatori software con accesso a wallet di criptovalute e infrastrutture CI/CD.

Profilo del gruppo: chi è Void Dokkaebi

Void Dokkaebi, denominato anche Famous Chollima nell’ecosistema di threat intelligence di CrowdStrike, è un intrusion set allineato agli interessi della Repubblica Popolare Democratica di Corea (RPDC). Il gruppo si distingue da altre unità cyber nordcoreane come Lazarus Group per la specializzazione quasi esclusiva nel targeting di sviluppatori software, ingegneri DevOps e professionisti del settore Web3 che detengono chiavi di firma, credenziali di wallet e accesso privilegiato a pipeline di continuous integration e deployment.

La sua tattica operativa preferita è quella del “fake job interview”: gli operatori si spacciano per recruiter di aziende crypto o AI rinominate, contattano le vittime su piattaforme come LinkedIn o GitHub, e le convincono a clonare ed eseguire repository di codice come parte di una presunta prova tecnica per un colloquio. Il codice in apparenza innocuo nasconde i payload malevoli.

La campagna del 2026: infrastruttura blockchain e repository compromessi

L’analisi condotta a marzo-maggio 2026 ha rivelato la portata impressionante dell’infrastruttura malevola costruita dal gruppo. I ricercatori hanno identificato:

• Oltre 750 repository GitHub infetti, molti appartenenti a organizzazioni legittime come DataStax e Neutralinojs, che presentano marcatori di infezione nei workflow CI/CD
• Più di 500 configurazioni di task Visual Studio Code modificate per eseguire payload al momento dell’apertura del progetto
• 101 istanze dello strumento di commit tampering utilizzato per iniettare codice malevolo nei repository

L’elemento più innovativo della campagna 2026 è l’utilizzo di infrastruttura blockchain per la distribuzione dei payload. Void Dokkaebi sfrutta Tron, Aptos e Binance Smart Chain come staging server per i malware, rendendo gli indicatori di compromissione praticamente immuni ai tradizionali meccanismi di takedown. Aggiornare un riferimento su blockchain equivale a cambiare il payload consegnato a tutte le vittime già infette, senza modificare un singolo byte nei repository.

L’evoluzione tecnica: da Python a Cython

Il cuore dell’aggiornamento analizzato da Trend Micro riguarda InvisibleFerret, il modulo infostealer centrale nell’arsenale di Void Dokkaebi. Precedentemente distribuito come script Python in chiaro — facilmente analizzabili e rilevabili da sistemi YARA e EDR — il malware è stato interamente ricompilato tramite Cython.

Cython è un compilatore che traduce codice Python in sorgente C/C++ e poi in binari nativi. Il risultato pratico è che InvisibleFerret viene ora distribuito come file .pyd su Windows (Python extension DLL) e come librerie condivise .so su macOS. Entrambi i formati sono binari compilati: non contengono stringhe leggibili, non sono interpretabili senza reverse engineering specializzato, e bypassano le regole di detection tradizionalmente scritte per identificare script Python sospetti.

Le capacità del malware rimangono invariate rispetto alle versioni precedenti:

• Apertura di backdoor per accesso remoto persistente
• Furto di credenziali dai principali browser (Chrome, Firefox, Edge)
• Monitoraggio degli appunti di sistema (clipboard hijacking per intercettare indirizzi di wallet)
• Keylogging per catturare password e seed phrase
• Esfiltrazione diretta da wallet di criptovalute locali
• Ricognizione dell’ambiente: processi in esecuzione, file system, variabili d’ambiente

Toolset correlato: BeaverTail, OtterCookie, OmniStealer

InvisibleFerret non opera mai isolatamente. Il gruppo lo utilizza in combinazione con altri malware della stessa famiglia operativa. BeaverTail è il dropper JavaScript iniziale che viene eseguito durante il “test tecnico”, il quale successivamente scarica e installa InvisibleFerret. OtterCookie è un ulteriore stealer focalizzato sui browser e sui file di configurazione. OmniStealer amplia la superficie di furto a client di posta e applicazioni VPN. Tutti questi componenti possono essere aggiornati dinamicamente tramite i reference blockchain, garantendo al gruppo una flessibilità operativa senza precedenti.

Indicatori di compromissione (IoC)

# File IOC - InvisibleFerret Cython (maggio 2026)
# Estensioni malevole su Windows
*.pyd  (file Python extension DLL con firma digitale assente o anomala)
# Estensioni malevole su macOS
*.so   (librerie condivise caricate da processi Python non standard)
# Pattern comportamentale
Processo Python che carica estensioni .pyd/.so non firmate da directory temp
Connessioni in uscita verso endpoint Tron/Aptos/BSC non previsti dall'applicazione
Lettura anomala del keychain macOS o del credential manager Windows
Accessi al filesystem wallet: ~/.bitcoin, ~/.ethereum, ~/.solana
# Infrastruttura C2 (blockchain-staged)
TRC20 address utilizzati come dead drop resolver su Tron network
Transazioni su Aptos con payload codificati nei campi memo

Due righe per i difensori

La migrazione a Cython rende obsolete le regole YARA basate su stringhe Python. I team di sicurezza devono aggiornare la propria postura difensiva su più livelli. A livello di endpoint, occorre implementare controlli di integrità sulle estensioni Python caricate dinamicamente e monitorare processi Python che importano moduli non presenti nell’ambiente di sviluppo ufficiale. A livello di rete, è essenziale bloccare o monitorare le connessioni verso endpoint RPC di reti blockchain non autorizzate (Tron API: api.trongrid.io, Aptos: fullnode.aptoslabs.com). A livello procedurale, le organizzazioni dovrebbero verificare l’identità dei recruiter prima di clonare ed eseguire qualsiasi repository fornito esternamente, e condurre i test tecnici in ambienti isolati (sandbox o VM senza credenziali di produzione). Gli sviluppatori che lavorano su progetti Web3 o che detengono wallet crypto devono essere considerati target ad alto rischio e ricevere formazione specifica sul riconoscimento di queste campagne di ingegneria sociale.

(in)sicurezza digitale

2026-05-25 16:37:30

Laravel-Lang compromessa: oltre 700 versioni PHP infettate da uno stealer cross-platform

Un sofisticato attacco alla supply chain ha compromesso quattro pacchetti PHP appartenenti al progetto Laravel-Lang, iniettando codice malevolo in oltre 700 versioni pubblicate in rapida successione tra il 22 e il 23 maggio 2026. Il payload — uno stealer cross-platform da quasi 6.000 righe di codice — è stato progettato per drenare credenziali cloud, token CI/CD, wallet di criptovalute e segreti di repository da qualsiasi sistema che utilizzi queste librerie di localizzazione diffusissime nell’ecosistema Laravel.

La natura dell’attacco: tag git riscritti, non codice sorgente

Quello che rende questa campagna particolarmente insidiosa è la tecnica adottata: gli attaccanti non hanno modificato il codice sorgente del repository, bensì hanno riscritto ogni tag git esistente in ciascun repository per puntare a commit malevoli appartenenti a un fork controllato dagli aggressori. Questo approccio bypassa molti controlli di integrità tradizionali basati sull’analisi dei diff del codice principale.

GitHub consente ai tag di versione di puntare a commit di fork dello stesso repository. Gli attaccanti hanno sfruttato questa funzionalità per sostituire silenziosamente tutti i tag — compresi quelli di versioni storicamente sicure — con riferimenti a commit malevoli nel fork. Il risultato pratico è che anche un progetto che non aggiornava le dipendenze da mesi si ritrovava improvvisamente a scaricare codice ostile.

I ricercatori di Socket, Aikido Security, StepSecurity e Snyk hanno analizzato in dettaglio l’incidente, confermando che le versioni compromesse sono state pubblicate in rapida successione — alcune a pochi secondi di distanza l’una dall’altra — il 22 e il 23 maggio 2026, con oltre 700 versioni identificate tra i quattro pacchetti interessati. La velocità di pubblicazione indica quasi certamente un processo automatizzato.

I pacchetti compromessi

I quattro pacchetti colpiti sono componenti fondamentali dell’ecosistema di localizzazione per applicazioni Laravel:

• laravel-lang/lang — le traduzioni principali per decine di lingue
• laravel-lang/http-statuses — messaggi di stato HTTP localizzati
• laravel-lang/attributes — traduzioni degli attributi dei form
• laravel-lang/actions — azioni comuni localizzate

Si sospetta che gli attaccanti abbiano ottenuto accesso a credenziali a livello di organizzazione, a sistemi di automazione del repository o all’infrastruttura di rilascio del progetto. Packagist ha risposto tempestivamente rimuovendo le versioni malevole e mettendo temporaneamente in stato di “unlisted” i pacchetti interessati per prevenire ulteriori installazioni.

Il meccanismo di esecuzione automatica: autoloader Composer

La funzionalità malevola è contenuta in un file denominato src/helpers.php, incorporato nei tag di versione compromessi. Il file è registrato nel campo autoload.files del composer.json di ciascun pacchetto. Questa scelta tecnica è devastante: qualsiasi applicazione PHP che esegua require __DIR__.'/vendor/autoload.php' all’avvio — ovvero praticamente ogni applicazione Laravel, Symfony, PHPUnit o framework PHP moderno — esegue automaticamente il payload senza che sia necessaria alcuna chiamata di metodo esplicita.

“Il backdoor viene eseguito automaticamente ad ogni richiesta PHP gestita dall’applicazione compromessa”, ha spiegato Socket nella propria analisi. Lo script genera un identificatore univoco per host (un hash MD5 che combina il percorso della directory, l’architettura del sistema e l’inode) per garantire che il payload si attivi una sola volta per macchina, limitando le esecuzioni ridondanti e aiutando il malware a restare non rilevato dopo l’esecuzione iniziale.

Payload: uno stealer modulare con 15 collector specializzati

Il dropper contatta il server flipboxstudio[.]info per recuperare il payload principale: uno stealer PHP cross-platform da circa 5.900 righe di codice, organizzato in 15 moduli collector specializzati. Su Windows viene distribuito un launcher Visual Basic Script eseguito tramite cscript; su Linux e macOS il payload viene eseguito tramite exec().

L’elenco di ciò che lo stealer è in grado di raccogliere è impressionante per ampiezza e profondità:

• Cloud provider: ruoli IAM AWS e documenti di identità dell’istanza, credenziali default di Google Cloud, token di accesso Microsoft Azure, profili service principal, token di account DigitalOcean, Heroku, Vercel, Netlify, Railway, Fly.io
• Container e orchestrazione: token Service Account Kubernetes, configurazioni Helm registry, token HashiCorp Vault, auth token Docker, configurazioni cluster Kubernetes
• CI/CD e DevOps: token e configurazioni di Jenkins, GitLab Runner, GitHub Actions, CircleCI, TravisCI, ArgoCD
• Criptovalute: seed phrase e file di portafogli Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi, Sparrow; dati di estensioni browser MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare, Rabby
• Browser: cronologia, cookie e login data da Chrome, Edge, Firefox, Brave, Opera, usando un eseguibile Windows embedded in Base64 che bypassa Chromium’s App-Bound Encryption (ABE)
• Password manager: vault locali e dati di estensioni 1Password, Bitwarden, LastPass, KeePass, Dashlane, NordPass
• Comunicazioni e sessioni: token di Discord, Slack, Telegram; sessioni PuTTY/WinSCP, Windows Credential Manager, sessioni RDP
• File sensibili: chiavi private SSH, credenziali Git, history di shell, file .env, wp-config.php, docker-compose.yml, variabili d’ambiente del processo PHP
• Email e FTP: dati Outlook, Thunderbird, FileZilla, WinSCP, CoreFTP
• VPN: configurazioni OpenVPN, WireGuard, NetworkManager, NordVPN, ExpressVPN, CyberGhost, Mullvad

Dopo aver raccolto tutto il materiale disponibile, il payload cripta i risultati con AES-256 e li trasmette all’endpoint flipboxstudio[.]info/exfil, dopodiché si cancella dal disco per limitare le tracce forensi.

IoC (Indicatori di Compromissione)

# Dominio C2 principale
flipboxstudio[.]info
flipboxstudio[.]info/exfil
# File malevolo nei pacchetti
src/helpers.php  (registrato in autoload.files di composer.json)
# Pacchetti PHP compromessi (verificare versioni 22-23 maggio 2026)
laravel-lang/lang
laravel-lang/http-statuses
laravel-lang/attributes
laravel-lang/actions
# Verifica presenza del file malevolo
find ./vendor -name "helpers.php" -path "*/laravel-lang/*" -exec grep -l "flipboxstudio" {} \;

Contesto: una campagna in crescita nell’ecosistema PHP

Questo attacco non è isolato. Negli ultimi mesi si è assistito a un’ondata di compromissioni delle supply chain nei principali registri di pacchetti. In particolare, la campagna Mini Shai-Hulud attribuita al gruppo TeamPCP (UNC6780) ha colpito pacchetti npm di TanStack, Mistral AI, Guardrails AI e OpenSearch, diffondendosi come un vero e proprio worm grazie all’abuso di token OIDC GitHub e al meccanismo di trusted publishing di npm. Il fatto che ora un attacco simile colpisca l’ecosistema PHP/Composer dimostra che i gruppi criminali stanno sistematicamente esplorando tutti i principali registri di pacchetti come vettori di attacco.

La tecnica di riscrivere i tag git invece di modificare il codice sorgente rappresenta un’evoluzione tattica significativa: bypassando i controlli diff tradizionali, rende molto più difficile il rilevamento automatico da parte degli strumenti di analisi della composizione software (SCA).

Due righe per i difensori

• Verificare immediatamente se le applicazioni Laravel utilizzano uno dei quattro pacchetti compromessi e controllare le versioni installate durante il periodo 22-23 maggio 2026
• Ruotare tutte le credenziali (AWS, GCP, Azure, GitHub, npm, CI/CD, database) su qualsiasi sistema che abbia eseguito codice con le versioni infette
• Non revocare immediatamente i token sospetti prima di aver isolato e acquisito un’immagine forense del sistema: il malware include meccanismi di risposta alla revoca
• Bloccare il dominio flipboxstudio[.]info a livello di firewall/DNS
• Implementare controlli di integrità sui tag git (verificare le firme dei commit) e considerare il pinning degli hash SHA degli artefatti nel composer.lock
• Adottare strumenti SCA capaci di rilevare tag git riscritti, non solo modifiche al codice sorgente
• Aggiornare a versioni sicure dei pacchetti rilasciate dal team Laravel-Lang dopo la rimozione delle versioni malevole da Packagist

(in)sicurezza digitale

2026-05-25 16:38:53

Operazione Saffron: smantellata First VPN, il servizio criminale usato da 25 gang ransomware

Un’operazione internazionale coordinata da sette paesi ha smantellato First VPN, un servizio VPN criminale attivo dal 2014 che per oltre un decennio ha fornito anonimato e copertura a ransomware gang, operatori di botnet e criminali informatici di ogni tipo. L’Operazione Saffron — condotta tra il 19 e il 20 maggio 2026 da autorità francesi e olandesi con il supporto di Europol ed Eurojust — ha portato al sequestro di 33 server, alla chiusura di domini multipli e all’identificazione di migliaia di utenti criminali. Almeno 25 gruppi ransomware si erano affidati al servizio per nascondere le proprie attività.

Cos’era First VPN: un servizio progettato per il crimine

A differenza dei normali provider VPN commerciali, First VPN era stato strutturalmente concepito per rispondere alle esigenze operative dei criminali informatici. Il servizio operava server in 27 paesi, accettava pagamenti anonimi e metteva a disposizione un’infrastruttura deliberatamente opaca, pubblicizzando esplicitamente la propria offerta agli hacker attraverso forum del dark web.

Europol ha confermato che First VPN non si limitava a offrire connessioni anonime: forniva ai cybercriminali pagamenti anonimi, infrastruttura nascosta e una serie di servizi specificamente commercializzati per chi voleva condurre attività illegali. L’FBI ha dichiarato che almeno 25 gang ransomware si servivano del servizio per mascherare il traffico malevolo, condurre ricognizioni sulle reti delle vittime, operare botnet, lanciare attacchi DDoS ed eseguire frodi su larga scala.

La durata operativa del servizio — dodici anni, dal 2014 al 2026 — rende First VPN uno dei provider criminali più longevi mai smantellati. Nel corso di questi anni il servizio ha rappresentato un elemento dell’infrastruttura criminale digitale quasi quanto certi servizi bullet-proof hosting che proteggono server di command-and-control.

Operazione Saffron: anatomia del takedown

L’Operazione Saffron è stata guidata dalle autorità di Francia e Paesi Bassi, con la partecipazione di cinque ulteriori paesi. Europol ed Eurojust hanno svolto un ruolo di coordinamento, mentre Bitdefender è stato tra i partner privati che hanno contribuito all’operazione con intelligence tecnica.

Il bilancio dell’operazione è significativo:

• 33 server sequestrati in tutta l’infrastruttura del servizio
• Chiusura di tutti i domini associati a First VPN
• Identificazione di migliaia di utenti criminali — le autorità hanno ottenuto accesso ai log e ai dati del provider
• 83 pacchetti di intelligence su 506 utenti condivisi con i paesi partner per follow-up investigativi
• Interrogatorio dell’operatore in Ucraina da parte di autorità francesi e olandesi

Un dato particolarmente rilevante: le autorità avevano accesso segreto ai sistemi di First VPN prima del takedown, raccogliendo intelligence sugli utenti e le loro attività. Come in precedenti operazioni simili (VPNLab, Fbi’s Anom), il monitoraggio anticipato ha permesso di costruire casi investigativi solidi contro i clienti del servizio.

Chi utilizzava First VPN: 25 gang ransomware e un ecosistema criminale variegato

Secondo l’FBI, First VPN era un punto di convergenza per una molteplicità di attori criminali. Le 25 gang ransomware che lo utilizzavano lo impiegavano principalmente per:

• Mascherare l’identità degli operatori durante la fase di ricognizione e compromissione iniziale delle reti
• Gestire i pannelli di command-and-control dei loro malware senza esporre infrastrutture proprie
• Condurre negoziazioni con le vittime attraverso connessioni anonimizzate
• Eseguire exfiltrazione di dati verso server di staging

Oltre al ransomware, il servizio veniva impiegato per la gestione di botnet, attacchi DDoS-as-a-service, frodi finanziarie e altre forme di cybercrime. La natura “crime-as-a-service” dell’offerta di First VPN riflette la professionalizzazione crescente dell’ecosistema criminale informatico, dove le diverse componenti delle operazioni illecite — exploit kit, accesso iniziale, VPN anonime, criptazione, estorsione — vengono acquistate come servizi separati su mercati specializzati.

Il contesto: la guerra delle autorità contro l’infrastruttura criminale

Il takedown di First VPN si inserisce in una sequenza di operazioni di law enforcement che negli ultimi anni ha progressivamente eroso l’infrastruttura tecnologica del cybercrimine organizzato. Tra le operazioni più significative degli ultimi 24 mesi si ricordano: il takedown di LockBit (febbraio 2024), l’operazione contro ALPHV/BlackCat (dicembre 2023), il sequestro di BreachForums (maggio 2024) e, più recentemente, l’arresto di Jacob Butler, il 23enne canadese alias “Dort” accusato di aver operato la botnet KimWolf — responsabile di attacchi DDoS da record a quasi 30 terabit al secondo, che hanno infettato quasi 2 milioni di dispositivi tra telecamere di sorveglianza e cornici digitali connesse a internet.

Ciò che emerge da questa serie di operazioni è una strategia deliberata da parte delle autorità: colpire non solo i singoli criminali, ma l’infrastruttura condivisa che permette a decine di gruppi diversi di operare. Sequestri di VPN criminali, hosting bullet-proof, servizi di riciclaggio crypto e forum di coordinamento costano al cybercrimine non solo singoli attori ma intere reti di supporto operative.

Le implicazioni investigative: i log di First VPN

Il punto più interessante — e preoccupante per chi ha usato il servizio — è la questione dei log. First VPN sosteneva, come quasi tutti i provider VPN nel mercato criminale, di non conservare log delle attività degli utenti. Le operazioni precedenti (VPNLab, IVPN, DoubleVPN) hanno dimostrato che queste affermazioni sono spesso false o parzialmente vere. In questo caso, la conferma che le autorità hanno ottenuto accesso anticipato ai sistemi e hanno costruito 83 pacchetti di intelligence su 506 utenti specifici suggerisce fortemente che dati sufficienti per l’identificazione erano disponibili.

Per le organizzazioni di sicurezza che seguono gruppi ransomware attivi, questo takedown ha una conseguenza pratica immediata: tutti i gruppi che utilizzavano First VPN dovranno migrare verso infrastrutture alternative, il che storicamente causa disruption operativa misurabile nelle campagne ransomware nelle settimane successive a simili operazioni.

Consigli per i difensori

• Monitorare i log di rete per connessioni in entrata o in uscita verso i range IP precedentemente associati all’infrastruttura di First VPN (le ION saranno condivise dai partner istituzionali nelle prossime settimane)
• Aspettarsi un picco di attività ransomware nelle prossime 2-4 settimane: i gruppi che perdono infrastrutture di supporto tendono ad accelerare le campagne attive prima di riorganizzarsi
• Aggiornare le TTP di threat modeling per i gruppi ransomware di riferimento: cambieranno IP, provider VPN e infrastruttura C2 in risposta all’operazione
• Condividere intelligence con i centri nazionali (in Italia, ACN) per contribuire alla costruzione dei pacchetti investigativi di follow-up sui 506 utenti identificati

Spcnet.it

2026-05-24 18:16:49

Fine dell’autenticazione CBA diretta per Exchange ActiveSync: guida alla migrazione verso Microsoft Entra ID

L’8 maggio 2026, il team di Exchange Online di Microsoft ha annunciato la deprecazione dell’autenticazione basata su certificati (CBA) diretta per Exchange ActiveSync (EAS). Entro la fine del 2026, qualsiasi client EAS che utilizza certificati per autenticarsi direttamente contro Exchange Online dovrà migrare al nuovo metodo basato su Microsoft Entra ID, pena l’interruzione del servizio email mobile.

Se la tua organizzazione ha configurato l’accesso alle email mobili tramite certificati client, questo articolo ti guida attraverso tutto ciò che devi sapere: perché Microsoft sta effettuando questo cambiamento, chi è interessato e — soprattutto — come completare la migrazione prima della scadenza.

Cos’è l’autenticazione CBA diretta per Exchange ActiveSync?

Exchange ActiveSync (EAS) è il protocollo che permette ai dispositivi mobili (smartphone, tablet) di sincronizzare email, calendari e contatti con Exchange Online. L’autenticazione basata su certificati (Certificate-Based Authentication, CBA) rappresenta un approccio passwordless: invece di inserire credenziali, il dispositivo presenta un certificato X.509 per autenticarsi.

Nel flusso legacy attuale, il funzionamento è il seguente:

1. I certificati client vengono distribuiti ai dispositivi mobili durante la configurazione MDM
2. Quando l’app email si connette, invia il certificato direttamente a Exchange Online
3. Exchange Online riceve il certificato e ne gestisce internamente la validazione
4. L’accesso viene concesso senza che il client ottenga mai un token OAuth standard

Questo approccio, sebbene sicuro a livello crittografico, è classificato da Azure AD come autenticazione legacy: il client non ottiene mai un token OAuth moderno, ma si affida a un meccanismo interno ad alta privilegio all’interno di Exchange Online.

Perché Microsoft sta eliminando questo metodo?

Il problema centrale è che la CBA diretta verso Exchange bypassa il moderno ecosistema di autenticazione di Microsoft Entra ID. Le conseguenze pratiche per gli amministratori sono significative:

• Incompatibilità con le Conditional Access Policy: le policy che bloccano l’autenticazione legacy in Azure AD bloccano anche la CBA diretta su EAS, creando un dilemma “tutto o niente” per chi vuole applicare controlli di sicurezza moderni senza interrompere l’accesso email mobile
• Mancanza di token OAuth: senza un token OAuth standard, non è possibile applicare controlli granulari come la durata della sessione, la revoca in tempo reale o l’integrazione con Identity Protection
• Superficie di attacco interna: Exchange Online si affida a un meccanismo interno ad alta privilegio per validare i certificati, introducendo una complessità architetturale non necessaria

Il nuovo flusso con Entra ID risolve tutti questi problemi:

1. Il client invia il certificato a Microsoft Entra ID per la validazione
2. Entra ID valida il certificato e restituisce un token OAuth al client
3. Il client presenta il token OAuth a Exchange Online per l’autenticazione

In questo modo, la CBA diventa un metodo di autenticazione moderno a tutti gli effetti, integrato nel flusso OAuth standard e soggetto a tutte le Conditional Access Policy configurate nel tenant.

Chi è interessato da questa modifica?

È importante chiarire cosa non è interessato da questa deprecazione:

• Outlook Mobile (usa già Modern Authentication)
• Exchange Server on-premises
• Altri client Exchange Online che non usano EAS con CBA
• Organizzazioni che non hanno mai configurato EAS CBA

La modifica riguarda esclusivamente i client Exchange ActiveSync (tipicamente le app email native di iOS e Android) configurati per usare certificati client come metodo di autenticazione verso Exchange Online.

Come verificare se la tua organizzazione è interessata:

1. Controlla la configurazione MDM: se il tipo di autenticazione nei profili email è impostato su “Certificate” anziché “OAuth”, probabilmente stai usando la CBA legacy
2. Verifica i log di sign-in di Entra ID: accedi all’Azure Portal → Microsoft Entra ID → Sign-in logs → filtra per “Client App: Exchange ActiveSync”. Se in “Authentication Details” vedi “Certificate” come metodo di autenticazione, sei impattato

Guida alla migrazione verso Entra-Based CBA

La buona notizia è che l’infrastruttura PKI e le CA (Certificate Authority) utilizzate per EAS CBA sono fondamentalmente le stesse richieste per Entra CBA. Questo semplifica notevolmente la transizione.

Step 1: Abilitare Microsoft Entra CBA nel tenant

Accedi al portale Azure e naviga in Microsoft Entra ID → Protection → Authentication methods → Certificate-based authentication. Configura le tue Certificate Authority:

• Almeno una CA root deve essere configurata in Entra ID, insieme a tutte le CA intermedie
• Ogni CA deve avere una Certificate Revocation List (CRL) accessibile da un URL pubblico su Internet
• Gli utenti devono avere accesso a un certificato emesso da una PKI attendibile

Per verificare la configurazione via PowerShell (Microsoft Graph PowerShell):

# Recupera le CA di autenticazione configurate nel directory
Get-MgOrganizationCertificateBasedAuthConfiguration -OrganizationId (Get-MgOrganization).Id

# Oppure con il modulo AzureAD (legacy)
Get-AzureADTrustedCertificateAuthority

Step 2: Verificare i certificati utente

Per Exchange ActiveSync, i certificati client devono contenere l’indirizzo email routable dell’utente nel campo Subject Alternative Name (SAN), in uno dei seguenti formati:

• Principal Name: user@domain.com
• RFC822 Name: user@domain.com (Entra ID lo mappa all’attributo Proxy Address)

I certificati già usati per la CBA diretta su EAS soddisfano quasi certamente questo requisito. Verifica semplicemente la presenza dell’email aziendale nel campo SAN del certificato.

Step 3: Aggiornare la configurazione dei dispositivi

Questa è la parte più operativa della migrazione. I profili email sui dispositivi mobili devono essere aggiornati per eseguire l’autenticazione certificato contro Entra ID invece che direttamente verso Exchange. In pratica:

• Se usi Microsoft Intune: aggiorna i profili di configurazione email per usare OAuth + certificati come metodo di autenticazione. Consulta la documentazione Intune per le specifiche della configurazione per iOS e Android
• Se usi soluzioni MDM di terze parti (VMware Workspace ONE, JAMF, MobileIron, ecc.): consulta il vendor per le istruzioni specifiche sull’abilitazione dell’autenticazione Entra con certificati

I nuovi endpoint dedicati per la CBA su EAS sono:

• Multi-tenant worldwide: outlook-cba.office365.com
• GCC-High: outlook-cba.office365.us
• DoD: outlook-dod-cba.office365.us

Step 4: Test e monitoraggio

Prima del rollout globale, testa il nuovo flusso Entra CBA con un gruppo pilota di dispositivi e utenti. Monitora i log di sign-in di Entra ID e i report sui dispositivi Exchange ActiveSync per identificare eventuali dispositivi che ancora usano il metodo legacy.

Timeline e pianificazione

I punti chiave da tenere a mente:

• Immediato: blocco per i nuovi tenant — non possono più configurare la CBA legacy
• Prossime settimane: Microsoft invierà comunicazioni Message Center ai tenant impattati
• Fine 2026: la CBA diretta verso Exchange Online verrà disabilitata per tutti i tenant esistenti

Microsoft raccomanda di completare la migrazione ben prima della scadenza di fine 2026 per evitare interruzioni del servizio. Considerando i tempi tipici di test, approvazione e deployment nei dispositivi mobili aziendali, è consigliabile iniziare la pianificazione adesso.

Conclusione

La deprecazione della CBA diretta per Exchange ActiveSync è parte del percorso di Microsoft verso la modernizzazione completa dell’autenticazione su Exchange Online, sulla scia dell’eliminazione di Basic Auth avvenuta negli anni scorsi. Il nuovo flusso basato su Entra ID offre sicurezza equivalente — passwordless, resistente al phishing, basato su certificati — con una ben migliore integrazione nell’ecosistema moderno di autenticazione e la piena compatibilità con le Conditional Access Policy.

Se la tua organizzazione usa EAS con CBA, il momento di iniziare la pianificazione della migrazione è adesso: la runway fino a fine 2026 è sufficiente per una transizione ordinata, ma non illimitata.

---

Fonte: Microsoft Tech Community — Exchange Team Blog (8 maggio 2026) | 4sysops.com

Retirement of Direct Exchange ActiveSync Certificate-Based Authentication by End of 2026 | Microsoft Community Hub

We are announcing the deprecation of Exchange ActiveSync (EAS) certificate-based authentication (CBA) directly to Exchange Online.  

^{The_Exchange_Team (TECHCOMMUNITY.MICROSOFT.COM)}

Spcnet.it

2026-05-24 18:17:13

Liquibase: gestione delle modifiche al database e automazione CI/CD

La gestione delle modifiche allo schema di un database è uno degli aspetti più delicati e sottovalutati nei progetti software moderni. Script SQL sparsi, modifiche manuali non documentate, disallineamenti tra ambienti di sviluppo, staging e produzione: questi problemi sono comuni in quasi ogni team di sviluppo. Liquibase risolve questi problemi portando il controllo di versione al database, proprio come Git fa con il codice sorgente.

Cos’è Liquibase e perché usarlo

Liquibase è uno strumento non open source rilasciato con licenza FSL con disponibilità del codice sorgente, per il database schema change management. Permette di definire, versionare e distribuire le modifiche allo schema del database tramite file di configurazione (chiamati changelog), supportando oltre 30 database diversi: Oracle, MySQL, PostgreSQL, SQL Server, DB2 e molti altri.

Il problema che Liquibase risolve è semplice ma critico: applicare modifiche al database con script SQL tradizionali è un processo manuale, error-prone e difficile da tracciare. Questi script spesso mancano di versioning, rendendo quasi impossibile sapere quale versione dello schema è in produzione rispetto allo sviluppo. Liquibase standardizza questo processo tramite file di configurazione versionati, tracciamento automatico via checksum MD5 e supporto nativo al rollback.

Concetti fondamentali

Prima di entrare nell’implementazione, è essenziale comprendere i quattro pilastri architetturali di Liquibase:

Changelog: è il file principale che contiene tutte le modifiche al database, organizzate in sequenza. Può essere in formato XML, YAML, JSON o SQL puro. Tipicamente si usa un file master che include sotto-changelog organizzati per release o sprint.

ChangeSet: è l’unità atomica di modifica, identificata univocamente da una coppia id + author. Ogni changeset viene eseguito una sola volta e tracciato nella tabella DATABASECHANGELOG. Una regola fondamentale: non modificare mai un changeset già eseguito; crea sempre un nuovo changeset per le correzioni.

Preconditions: verifiche condizionali che devono passare prima dell’esecuzione di un changeset. Permettono di rendere sicure le migrazioni anche in scenari complessi (es. verificare che una colonna non esista già prima di aggiungerla).

Contexts e Labels: meccanismi di filtraggio per controllare quali changeset vengono eseguiti in quale ambiente (dev, staging, prod). Indispensabili per gestire dati di test o configurazioni ambiente-specifiche.

Struttura base di un changelog YAML

Ecco un esempio pratico di changelog in formato YAML per la creazione di una tabella transazioni con supporto al rollback:

databaseChangeLog:
  - changeSet:
      id: create-payment-table
      author: devops.team
      changes:
        - createTable:
            tableName: payment_transaction
            columns:
              - column:
                  name: id
                  type: varchar(50)
                  constraints:
                    primaryKey: true
                    nullable: false
              - column:
                  name: amount
                  type: decimal(15,2)
                  constraints:
                    nullable: false
              - column:
                  name: currency_code
                  type: char(3)
                  constraints:
                    nullable: false
              - column:
                  name: transaction_date
                  type: timestamp
                  defaultValueComputed: CURRENT_TIMESTAMP
              - column:
                  name: status
                  type: varchar(20)
                  constraints:
                    nullable: false
      rollback:
        - dropTable:
            tableName: payment_transaction

Il blocco rollback è fondamentale: definisce esplicitamente come annullare la modifica, rendendo ogni deployment reversibile in modo prevedibile.

Configurazione per ambienti multipli

Un file liquibase.properties separato per ogni ambiente permette di gestire connessioni e contesti in modo sicuro:

# liquibase-dev.properties
changeLogFile=db/changelog.yaml
url=jdbc:postgresql://localhost:5432/devdb
username=dev_user
password=${DB_PASSWORD}
contexts=dev,test
defaultSchemaName=DEV_SCHEMA
logLevel=DEBUG

Nota importante: le credenziali non devono mai essere committate nel repository. Usa variabili d’ambiente, HashiCorp Vault, AWS Secrets Manager o Kubernetes Secrets per la gestione dei segreti.

Precondizioni per deployment sicuri

Le precondizioni rendono Liquibase robusto in ambienti dove lo schema potrebbe trovarsi in stati intermedi. Questo esempio in SQL nativo verifica che una colonna non esista prima di aggiungerla:

--liquibase formatted sql

--changeset devops.team:add-merchant-id
--preconditions onFail:MARK_RAN onError:HALT
--precondition-sql-check expectedResult:0 SELECT COUNT(*) FROM information_schema.columns WHERE table_name = 'payment_transaction' AND column_name = 'merchant_id'

ALTER TABLE payment_transaction 
ADD COLUMN merchant_id VARCHAR(50);

--rollback ALTER TABLE payment_transaction DROP COLUMN merchant_id;

Il comportamento onFail:MARK_RAN istruisce Liquibase a segnare il changeset come già eseguito (senza eseguirlo) se la precondizione fallisce — comportamento ideale quando la colonna esiste già per altri motivi.

Integrazione in pipeline CI/CD

La vera potenza di Liquibase emerge quando viene integrato in una pipeline di deployment automatizzato. Ecco un esempio completo con Jenkins:

pipeline {
    agent any
    
    stages {
        stage('Validate') {
            steps {
                sh 'liquibase validate'
            }
        }
        
        stage('Deploy Staging') {
            steps {
                sh 'liquibase --contexts=staging update'
            }
        }
        
        stage('Deploy Production') {
            when { 
                branch 'main' 
            }
            steps {
                input 'Deploy to Production?'
                sh 'liquibase --contexts=prod update'
            }
        }
    }
    
    post {
        failure {
            sh 'liquibase rollbackCount 1'
        }
    }
}

Il blocco post { failure } garantisce il rollback automatico dell’ultimo changeset in caso di errore — un salvagente fondamentale in produzione.

Pattern Kubernetes: Init Container

Per architetture cloud-native, il pattern degli init container è ideale: Liquibase viene eseguito come container di inizializzazione prima dell’avvio dell’applicazione, garantendo che lo schema sia sempre aggiornato prima che il servizio inizi a ricevere traffico:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: payment-service
spec:
  template:
    spec:
      initContainers:
      - name: liquibase-migration
        image: liquibase/liquibase:4.25.0
        command:
        - liquibase
        - --url=jdbc:postgresql://$(DB_HOST):5432/$(DB_NAME)
        - --username=$(DB_USER)
        - --password=$(DB_PASSWORD)
        - update
        env:
        - name: DB_HOST
          valueFrom:
            secretKeyRef:
              name: db-credentials
              key: host
      containers:
      - name: payment-service
        image: payment-service:latest
        ports:
        - containerPort: 8080

Best practice per ambienti enterprise

Alcune regole fondamentali per adottare Liquibase in contesti di produzione:

• Principio del minimo privilegio: l’utente Liquibase deve avere solo i permessi DDL necessari, mai privilegi DBA completi.
• Revisione obbligatoria: ogni modifica al changelog deve passare per una Pull Request con review da un secondo sviluppatore prima del merge.
• Test su dati realistici: prima del deployment in produzione, eseguire le migrazioni in un ambiente staging con volumi di dati simili a quelli di produzione per individuare problemi di performance.
• Mai modificare changeset già eseguiti: il checksum MD5 rileverei la modifica e bloccherebbe il deployment. Crea sempre un nuovo changeset per le correzioni.
• Crea indici dopo i bulk insert: creare indici prima di caricare grandi quantità di dati aumenta enormemente il tempo di migrazione senza benefici pratici.

Monitoraggio con Prometheus e Grafana

Per ambienti enterprise, integrare le metriche Liquibase in un sistema di osservabilità permette di rilevare problemi prima che impattino la produzione. Le metriche chiave da tracciare includono:

• Durata per changeset: identifica migrazioni lente che potrebbero causare downtime
• Lock contention: conflitti sulla tabella DATABASECHANGELOGLOCK in ambienti multi-istanza
• Checksum failures: modifica non autorizzata a changeset già eseguiti
• Rollback rate: indicatore di qualità del processo di testing prima del deployment

# Esempio metriche Prometheus esportate da Liquibase
liquibase_deployment_success_total{environment="prod"} 145
liquibase_changeset_duration_seconds_bucket{id="1",database="prod",le="0.5"} 120
liquibase_rollback_total{environment="prod"} 3
liquibase_deployment_failure_total{environment="prod",reason="validation_error"} 2

Conclusione

Liquibase trasforma la gestione del database da processo manuale e rischioso a pratica ingegneristica controllata e auditabile. L’integrazione con i sistemi CI/CD permette di applicare agli schemi database gli stessi standard di qualità già applicati al codice applicativo: versionamento, review, test automatizzati e rollback prevedibile.

Per team che adottano DevOps o pratiche di continuous delivery, Liquibase non è un’opzione ma una necessità: è il tassello mancante tra il deployment del codice e quello del database.

Fonte: Liquibase: Database Change Management and Automated Deployments — DZone

Liquibase: Database Change Management + Automated Deployment

Liquibase automates schema versioning and deployment via changelogs, enabling version-controlled, rollback-ready migrations with tracking for DevOps pipelines.

^{Suman Basak (dzone.com)}

(in)sicurezza digitale

2026-05-24 18:15:13

Megalodon: 5.561 repository GitHub compromessi in sei ore con workflow CI/CD malevoli

In sei ore, tra le 11:36 e le 17:48 UTC del 18 maggio 2026, una campagna automatizzata denominata Megalodon ha iniettato 5.718 commit malevoli in 5.561 repository GitHub, esfiltrandone segreti CI/CD, credenziali cloud, chiavi SSH e token API verso un server di comando e controllo. È l’attacco alla supply chain dello sviluppo software più rapido e capillare mai documentato, e fa parte di un’ondata più ampia che sta ridisegnando il panorama delle minacce per sviluppatori e team DevOps.

Come funziona Megalodon: l’automazione al servizio del compromesso di massa

I ricercatori di SafeDep e StepSecurity hanno analizzato la campagna in dettaglio. L’attaccante ha utilizzato account GitHub usa-e-getta con username alfanumerici casuali di 8 caratteri (es. rkb8el9r, bhlru9nr, lo6wt4t6), configurando git per falsificare l’identità dell’autore con nomi plausibili — build-bot, auto-ci, ci-bot, pipeline-bot — e indirizzi email automatizzati come build-system@noreply.dev. Questi nomi mimano la normale attività di automazione CI/CD, riducendo drasticamente la probabilità che un commit sospetto venga rilevato durante una code review.

Il payload iniettato è un workflow GitHub Actions contenente uno script bash codificato in Base64. Una volta che il proprietario del repository accetta il pull request o effettua un push, il workflow si attiva nella pipeline CI/CD e procede all’esfiltrazione massiva di dati verso il C2 all’indirizzo 216.126.225[.]129:8443.

Dati esfiltrati: una lista completa

La lista di informazioni sottratte dalla campagna Megalodon è particolarmente estesa e rivela quanto profondamente il workflow malevolo si radichi nell’ambiente di esecuzione CI/CD:

• Variabili d’ambiente CI, /proc/*/environ e ambiente del processo PID 1
• Credenziali AWS (access key, secret key, session token)
• Access token Google Cloud Platform
• Credenziali di ruolo IAM ottenute via AWS IMDSv2, GCP metadata server e Azure IMDS
• Chiavi private SSH
• Configurazioni Docker e Kubernetes
• Vault token (HashiCorp Vault)
• Terraform credentials
• Shell history
• Chiavi API, stringhe di connessione a database, JWT, chiavi PEM private
• GITHUB_TOKEN, token GitLab CI/CD e Bitbucket
• File .env, credentials.json, service-account.json e altri file di configurazione sensibili
• GitHub Actions OIDC token (URL + token)

# Indicatori di Compromissione - Megalodon
# C2 server
216.126.225.129:8443
# Account attaccante (pattern)
Username: 8 caratteri alfanumerici casuali (es. rkb8el9r, bhlru9nr, lo6wt4t6)
Author forged: build-bot, auto-ci, ci-bot, pipeline-bot
Email forged: build-system@noreply.dev, ci-bot@automated.dev
# Varianti payload
SysDiag          - Workflow su ogni push/pull_request (mass variant)
Optimize-Build   - Workflow su workflow_dispatch (targeted variant, backdoor dormante)
# Pacchetto npm compromesso
@tiledesk/tiledesk-server versioni 2.18.6 - 2.18.12
# Finestra temporale dell'attacco
18 maggio 2026, 11:36 - 17:48 UTC
5.718 commit su 5.561 repository in ~6 ore
# Pacchetti npm malevoli (Polymarket drainer - campagna correlata)
polymarket-trading-cli, polymarket-terminal, polymarket-trade
polymarket-auto-trade, polymarket-copy-trading, polymarket-bot
polymarket-claude-code, polymarket-ai-agent, polymarket-trader
Endpoint esfiltrazione: hxxps://polymarketbot.polymarketdev.workers[.]dev/v1/wallets/keys

Due varianti per due obiettivi

L’analisi tecnica ha identificato due varianti del payload con finalità diverse. La variante SysDiag è quella di massa: aggiunge un workflow attivato da ogni push e pull request, massimizzando le opportunità di esecuzione. La variante Optimize-Build è più chirurgica: sostituisce i workflow esistenti con trigger workflow_dispatch, creando backdoor dormienti che l’attaccante può attivare on-demand tramite le API di GitHub. Nel caso di @tiledesk/tiledesk-server è stata utilizzata la variante targeted, che colpisce i CI/CD runner ma non si attiva quando il pacchetto npm viene semplicemente installato dagli utenti finali.

“Il compromesso di GitHub da parte di TeamPCP era solo l’inizio”, ha dichiarato Moshe Siman Tov Bustan di OX Security. “Quello che arriverà è un’ondata infinita, uno tsunami di attacchi cyber contro sviluppatori in tutto il mondo.”

Il contesto: TeamPCP e l’ecosistema open source sotto attacco

Megalodon si inserisce in una serie di attacchi orchestrati dal gruppo TeamPCP, che ha sfruttato la natura interconnessa della supply chain software per compromettere centinaia di progetti open source in modalità worm-like. Tra le vittime precedenti: TanStack, Grafana Labs, OpenAI, Mistral AI e ora GitHub direttamente. Il gruppo ha stabilito partnership con BreachForums e crew di estorsione come LAPSUS$ e VECT, combinando motivazioni finanziarie con possibili interessi geopolitici: è stato documentato il deployment di wiper malware su macchine localizzate in Iran e Israele.

La risposta di npm all’ondata di attacchi è stata drastica: invalidazione di tutti i token di accesso granulare con write access che bypassano l’autenticazione a due fattori. NPM ha anche raccomandato il passaggio a Trusted Publishing per ridurre la dipendenza da questi token. Come ha sottolineato Socket, però, l’intervento compra tempo ma non chiude la vulnerabilità sottostante: finché il worm è attivo, continuerà a raccogliere nuovi token non appena i maintainer ne genereranno di nuovi.

Due righe per i difensori

La campagna Megalodon evidenzia debolezze strutturali nella sicurezza delle pipeline CI/CD. I team DevSecOps dovrebbero adottare le seguenti contromisure:

• Abilitare il pinning dei workflow: configurare i GitHub Actions workflow per usare SHA commit espliciti invece di tag mutabili (es. uses: actions/checkout@abc1234 invece di @v3), rendendo impossibile la sostituzione silenziosa dei workflow
• Implementare policy di branch protection: richiedere review obbligatorie per ogni push su branch principali, con particolare attenzione alle modifiche a file .github/workflows/
• Monitorare le credenziali con secret scanning: strumenti come GitHub Secret Scanning, Trufflehog o Gitleaks possono rilevare credenziali accidentalmente incluse nei commit
• Adottare Trusted Publishing: su npm e PyPI, il Trusted Publishing elimina la necessità di token statici che possono essere rubati
• Revisione dei permessi GITHUB_TOKEN: limitare i permessi del token al minimo necessario per il workflow specifico, usando permissions: nel file YAML
• Audit degli accessi OIDC: implementare policy rigorose per i token OIDC usati per l’accesso a cloud provider da pipeline CI
• Alerting su deployment key e PAT: monitorare l’uso di Personal Access Token e deploy key, revocando immediatamente quelli non più in uso

Megalodon rappresenta un punto di svolta nella storia degli attacchi alla supply chain: la capacità di compromettere oltre 5.500 repository in meno di sei ore, utilizzando tecniche di evasione che mimano il normale traffico CI/CD, suggerisce un livello di automazione e pianificazione che andrà oltre i singoli episodi. La domanda non è più se una pipeline subirà un tentativo di compromissione, ma quando — e se l’organizzazione ha le visibility necessarie per accorgersene in tempo.

(in)sicurezza digitale

2026-05-23 20:58:09

Webworm evolve: i backdoor EchoCreep e GraphWorm trasformano Discord e Microsoft Graph in canali C2

Quando un gruppo APT decide di nascondere le proprie comunicazioni malevole dentro le API di prodotti Microsoft o nei canali Discord, il confine tra traffico legittimo e operazione di spionaggio si fa quasi invisibile per i tradizionali strumenti di sicurezza di rete. È esattamente la scelta operativa che ha compiuto Webworm, gruppo di allineamento cinese attivo da almeno il 2022, che nel 2025 ha arricchito il proprio toolkit con due nuovi implant: EchoCreep e GraphWorm.

Chi è Webworm: storia e attribuzioni

Webworm è stato documentato pubblicamente per la prima volta da Symantec (ora parte di Broadcom) nel settembre 2022. Il gruppo prende di mira agenzie governative e aziende nei settori IT, aerospaziale ed energia elettrica, con un focus geografico che comprende Russia, Georgia, Mongolia e diverse nazioni asiatiche ed europee. I ricercatori hanno identificato sovrapposizioni operative significative con cluster tracciati come FishMonger (alias Aquatic Panda), SixLittleMonkeys e Space Pirates — tutti threat actor con legami all’intelligence cinese.

La scelta dei bersagli — istituzioni governative, operatori di infrastrutture critiche e fornitori di servizi IT — è coerente con gli obiettivi strategici di raccolta intelligence attribuiti agli attori state-sponsored cinesi. Le recenti campagne hanno ampliato il raggio d’azione verso l’Europa, segnalando un’evoluzione geopolitica degli interessi del gruppo.

EchoCreep: Discord come infrastruttura C2

EchoCreep è il componente più semplice — ma non per questo meno insidioso — del nuovo arsenale. Utilizza Discord come canale di Command and Control, sfruttando le API della piattaforma di messaggistica per ricevere comandi dagli operatori e restituire output dalle macchine compromesse. Le funzionalità documentate dai ricercatori includono:

• Upload e download di file arbitrari verso/dal sistema vittima
• Esecuzione di comandi tramite cmd.exe con restituzione dell’output agli operatori
• Persistenza tramite canale Discord dedicato, non esposto pubblicamente

L’analisi del canale Discord utilizzato da EchoCreep rivela che i primi comandi risalgono al 21 marzo 2024: ciò significa che l’implant era già operativo in campagne reali ben prima della sua scoperta pubblica, probabilmente inosservato per oltre un anno.

La scelta di Discord come C2 non è casuale. Il traffico verso discord.com è quasi universalmente consentito nelle policy di rete aziendali, il protocollo è HTTPS e il volume di traffico legittimo è enorme — condizioni ideali per mascherare comunicazioni malevole nel rumore di fondo.

GraphWorm: Microsoft OneDrive come dead drop

GraphWorm è il componente più sofisticato del nuovo toolkit. Utilizza Microsoft Graph API — la stessa infrastruttura usata da milioni di applicazioni enterprise — per le comunicazioni C2, sfruttando specificamente gli endpoint di OneDrive. La tecnica del “cloud dead drop” — usare servizi cloud legittimi come proxy per i comandi — è in crescita tra gli APT più avanzati, ma GraphWorm la porta a un livello di granularità operativa notevole.

Per ciascuna vittima compromessa, GraphWorm crea una directory dedicata su OneDrive, permettendo agli operatori di gestire in modo indipendente le operazioni su target diversi senza interferenze. Le capacità documentate includono:

• Spawn di nuove sessioni cmd.exe per l’esecuzione interattiva di comandi
• Avvio di processi arbitrari sul sistema vittima
• Upload e download di file da/verso OneDrive tramite Graph API
• Self-termination controllata su segnale degli operatori, per ridurre le tracce forensi

Il traffico verso graph.microsoft.com è considerato trust implicito nella maggior parte degli ambienti enterprise Microsoft 365, rendendo il rilevamento basato sul blocco dei domini o sull’ispezione superficiale del traffico del tutto inefficace.

Tooling, proxy custom e TTP completi

Webworm integra i propri backdoor con un ecosistema di strumenti offensive collaudato. Per la fase di ricognizione, il gruppo usa tool open source come dirsearch e nuclei per eseguire brute-force dei path su web server delle vittime e identificare vulnerabilità sfruttabili. Sul lato infrastrutturale, Webworm ha sviluppato una suite di proxy custom: WormFrp, ChainWorm, SmuxProxy e WormSocket. Questi strumenti non si limitano a cifrare le comunicazioni: supportano il chaining su host multipli — sia interni che esterni alla rete bersaglio — permettendo la costruzione di tunnel multi-hop difficili da tracciare. Il gruppo utilizza inoltre SoftEther VPN per un ulteriore layer di offuscamento dell’infrastruttura C2.

Indicatori di compromissione (IoC)

# Webworm - EchoCreep / GraphWorm IoC (maggio 2026)
# Tool legittimi usati in contesto malevolo
TOOL: dirsearch (github.com/maurosoria/dirsearch)
TOOL: nuclei (github.com/projectdiscovery/nuclei)
# Custom proxy tools Webworm
TOOL: WormFrp
TOOL: ChainWorm
TOOL: SmuxProxy
TOOL: WormSocket
# Patterns comportamentali da monitorare
BEHAVIOR: cmd.exe spawned by non-standard parent process
BEHAVIOR: Unusual OneDrive API calls (graph.microsoft.com) with file creation in per-victim dirs
BEHAVIOR: Discord API traffic with binary/encoded payloads
BEHAVIOR: SoftEther VPN client installation/execution
# Cluster correlati
ALIAS: FishMonger / Aquatic Panda
ALIAS: SixLittleMonkeys
ALIAS: Space Pirates

Due righe per i difensori

L’abuso di servizi cloud legittimi per il C2 richiede un cambio di paradigma nel rilevamento. Il blocco a livello di dominio è inefficace — occorre spostare l’attenzione sul comportamento. I blue team dovrebbero implementare analisi comportamentale del traffico verso API cloud note, cercando pattern anomali di upload/download non correlati all’attività utente attesa. È fondamentale monitorare la creazione di directory insolite su OneDrive enterprise tramite i log di Microsoft 365 Defender e correlare gli accessi OAuth a Microsoft Graph con i baseline comportamentali degli account di servizio. Sul piano degli endpoint, qualsiasi processo che spawni cmd.exe con parent process inusuali dovrebbe attivare alert ad alta priorità. Infine, regole Sigma per i pattern di traffico Discord e Graph API anomali, combinate con threat intelligence sui cluster Webworm, permettono un rilevamento proattivo di queste campagne.

(in)sicurezza digitale

2026-05-23 17:51:48

Whatsapp compromesso su iPhone, la ricerca di Forenser sullo 0-click

Una premessa prima di iniziare: se hai un iPhone con iOS inferiore a 16.7.12, aggiorna, è già tardi e un miracolo che non sia ancora successo niente di brutto.

Detto questo, per anni l’ecosistema Apple è stato raccontato come una fortezza quasi inespugnabile. “Se hai un iPhone sei al sicuro” è diventato uno dei mantra più ripetuti anche fuori dalla bolla tech. Poi arrivano casi come quello documentato da Forenser e improvvisamente quella narrativa inizia a incrinarsi. Non perché iPhone sia diventato improvvisamente insicuro, ma perché il punto debole — come spesso accade — non è il dispositivo in sé. È la catena completa: notifiche, sessioni, social engineering, bug, sincronizzazioni cloud e fiducia implicita dell’utente.

La ricerca pubblicata da Forenser fotografa infatti una serie di compromissioni WhatsApp osservate su dispositivi Apple rimasti fermi a iOS 16 (specificatamente sotto il famoso aggiornamento alla 16.7.12). Non si parla di semplici tentativi di phishing “artigianali”, ma di account effettivamente presi in controllo, con accessi alle chat e utilizzo dell’identità digitale delle vittime per colpire ulteriori contatti.

Le vittime, infatti, non riportano comportamenti compatibili con il classico phishing. Nessun link cliccato volontariamente, nessuna installazione di applicazioni sospette, nessun QR code scansionato deliberatamente, nessuna richiesta di OTP condivisi. Eppure gli account risultano violati.

È questo il dettaglio che ha acceso l’interesse della comunità forense.

Secondo quanto riportato nell’analisi di Forenser, gli utenti colpiti avrebbero ricevuto messaggi specifici poco prima della compromissione. Messaggi che, in alcuni casi, sembrano avere un comportamento anomalo lato client. La ricostruzione tecnica suggerisce che il vettore d’attacco possa sfruttare una vulnerabilità legata alla gestione dei contenuti ricevuti da WhatsApp su iOS 16, permettendo l’esecuzione di operazioni malevole senza necessità di interazione diretta dell’utente.

In altre parole: il semplice ricevere il messaggio potrebbe essere sufficiente ad attivare la catena di compromissione.

È questo il vero significato di 0-click. Nessun tap. Nessun consenso. Nessun comportamento “sbagliato” da parte della vittima.

Nel mondo mobile moderno, questo tipo di attacco rappresenta uno degli scenari più pericolosi in assoluto, perché elimina completamente il principale livello difensivo su cui si basa gran parte della sicurezza consumer: l’utente stesso. Le campagne di phishing tradizionali funzionano solo se qualcuno sbaglia. Gli exploit 0-click invece trasformano il dispositivo in un bersaglio passivo.

La ricerca di Forenser suggerisce inoltre un elemento fondamentale: il problema sembrerebbe concentrarsi su device ancora fermi a certe release superate di iOS 16. Questo potrebbe indicare la presenza di vulnerabilità già corrette nelle versioni successive di iOS, ma ancora sfruttabili sui terminali non aggiornati. Ed è qui che emerge uno dei problemi più sottovalutati dell’ecosistema Apple: l’idea che “se hai un iPhone allora sei automaticamente al sicuro”.

In realtà il modello di sicurezza Apple funziona in maniera estremamente efficace proprio grazie agli aggiornamenti continui. Restare bloccati su una major release precedente significa esporsi progressivamente a vulnerabilità già note, studiate e potenzialmente weaponizzate.

Dal punto di vista operativo, un attacco del genere è devastante perché estremamente difficile da rilevare. Non lascia i classici indicatori di compromissione associati al malware tradizionale. Non rallenta necessariamente il dispositivo. Non mostra finestre sospette. Non installa applicazioni visibili. Tutto avviene all’interno di una superficie software considerata “trusted”: l’app di messaggistica stessa.

E WhatsApp rappresenta un bersaglio ideale.

Dentro quell’applicazione oggi transitano conversazioni personali, documenti, codici OTP, messaggi vocali, relazioni professionali e spesso persino elementi di autenticazione indiretta per servizi bancari o aziendali. Compromettere WhatsApp non significa più soltanto leggere chat private: significa ottenere accesso a una porzione enorme dell’identità digitale della vittima.

L’aspetto forse più interessante dell’indagine di Forenser è che porta l’attenzione su una categoria di minacce spesso percepite come lontane dal mondo reale. Quando si parla di exploit 0-click si pensa immediatamente ad attori statali, intelligence offensive e spyware da milioni di euro. Ma la linea che separa il cyberespionage dal cybercrime si sta assottigliando sempre di più. Tecniche un tempo esclusive delle operazioni governative iniziano lentamente a comparire anche in scenari meno sofisticati.

Ed è esattamente questo a rendere il caso così importante.

Perché al netto dei dettagli tecnici ancora da chiarire completamente, la ricerca di Forenser mostra un cambiamento preciso nel panorama delle minacce mobile: gli smartphone non vengono più attaccati soltanto inducendo l’utente a commettere errori. Sempre più spesso, basta semplicemente raggiungerli.

Account WhatsApp compromessi su iPhone con iOS 16: l’attacco 0click che bypassa i dispositivi collegati - Forenser Srl

Un weekend tranquillo, di fine maggio: il tempo passa senza problemi fino a quando non iniziano ad arrivare messaggi ambigui sull’applicazione di WhatsApp

^{forenser (Forenser Srl)}

Spcnet.it

2026-05-23 16:42:25

Hotpatching gratuito per Windows Server 2025 con Azure Arc: guida all’abilitazione

Cos’è l’Hotpatching e perché cambia tutto

Ogni amministratore di sistema conosce bene il problema: arriva il patch Tuesday, si pianifica una finestra di manutenzione, si notificano gli utenti, si aspetta il riavvio e si incrocia le dita sperando che tutto torni su senza intoppi. Con Windows Server 2025 e l’hotpatching abilitato da Azure Arc, questo ciclo faticoso si riduce drasticamente. E da maggio 2026, questa funzionalità è completamente gratuita per tutti i server Arc-enabled.

L’hotpatching consente di applicare aggiornamenti di sicurezza al sistema operativo senza riavviare il server nella maggior parte dei mesi. Microsoft ha annunciato che dal 15 maggio 2026 tutta la fatturazione per l’hotpatch è stata interrotta per i server Windows Server 2025 Standard e Datacenter connessi ad Azure Arc. Non sono più previsti costi per core, tariffe orarie o voci separate in fattura.

Come funziona il ciclo di aggiornamento

L’hotpatching non elimina completamente i riavvii, ma li riduce sensibilmente. Il ciclo funziona su base trimestrale:

• Mese baseline (1 riavvio ogni 3 mesi): viene installato un aggiornamento cumulativo completo che richiede un riavvio. Questo aggiornamento “alza l’asticella” del sistema per i mesi successivi.
• Mesi hotpatch (i 2 mesi successivi): vengono distribuiti solo gli aggiornamenti di sicurezza incrementali, applicati in-memory senza riavvio.

In un anno solare si ottengono fino a 8 aggiornamenti mensili senza riavvio e soli 4 riavvii baseline pianificabili. Per ambienti di produzione ad alta disponibilità, è una differenza sostanziale.

Prerequisiti tecnici

Prima di abilitare l’hotpatching, verificare che il server soddisfi i requisiti seguenti:

• Windows Server 2025 Standard o Datacenter (build 26100.1742 o successiva). Le build di anteprima non sono supportate.
• Il server deve essere connesso ad Azure Arc tramite il Connected Machine Agent.
• La macchina deve supportare la Virtualization-Based Security (VBS): firmware UEFI con Secure Boot abilitato. Per le VM Hyper-V, è richiesta una macchina virtuale di Generazione 2.
• Una subscription Azure attiva (esiste un tier gratuito per iniziare).

Nota: Windows Server 2025 Datacenter: Azure Edition ha l’hotpatching abilitato per impostazione predefinita e non richiede Azure Arc.

Verifica e abilitazione di Virtual Secure Mode (VBS)

Quando si abilita l’hotpatch dal portale Azure, il sistema verifica automaticamente se la Virtual Secure Mode (VSM) è attiva. Se non lo è, l’operazione fallisce con un errore. È conveniente verificare prima manualmente.

Verifica dello stato VSM con PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' `
    -ClassName 'win32_deviceGuard' | `
    Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Se il valore restituito è 2, VSM è attivo e si può procedere. Se è 0 o 1, occorre abilitarlo.

Abilitazione di VSM tramite registro di sistema

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' `
    -Name 'EnableVirtualizationBasedSecurity' `
    -PropertyType 'Dword' `
    -Value 1 -Force

Dopo aver impostato il valore, riavviare il server e verificare nuovamente che VirtualizationBasedSecurityStatus restituisca 2.

In alternativa, VSM viene abilitato automaticamente configurando funzionalità come Credential Guard, Hypervisor-Protected Code Integrity (HVCI) o Secured-core server. Se il proprio ambiente utilizza già una di queste feature, VSM è probabilmente già attivo.

Connessione ad Azure Arc

Se il server non è ancora connesso ad Azure Arc, il modo più rapido per un singolo server è scaricare ed eseguire lo script di onboarding dal portale Azure:

1. Aprire il portale Azure e cercare Azure Arc → Machines.
2. Cliccare su Add/Create → Add a machine.
3. Selezionare Add a single server e seguire la procedura guidata.
4. Scaricare ed eseguire lo script PowerShell generato sul server target.

Per un deployment su scala (decine o centinaia di server), Azure Arc supporta l’installazione tramite Group Policy, service principal, Terraform o Configuration Manager. Il Connected Machine Agent è leggero e ha un impatto minimo sulle risorse del sistema.

Abilitazione dell’Hotpatch dal portale Azure

Una volta che il server è connesso ad Azure Arc e VSM è attivo, abilitare l’hotpatch richiede pochi click:

1. Nel portale Azure, navigare su Azure Arc → Machines.
2. Selezionare il nome del server target.
3. Nel pannello laterale, fare clic su Hotpatch.
4. Cliccare su Confirm.
5. Attendere circa 10 minuti per la propagazione delle modifiche.

Se lo stato rimane bloccato su Pending, verificare la connettività verso gli endpoint Azure Arc e controllare i log dell’agente in C:\ProgramData\AzureConnectedMachineAgent\Logs.

Automazione con Azure Update Manager

Per gestire l’hotpatching su scala, Azure Update Manager (AUM) è lo strumento consigliato. Permette di:

• Definire maintenance windows per controllare quando vengono applicati gli aggiornamenti baseline (quelli che richiedono il riavvio).
• Configurare update policies per applicare automaticamente gli hotpatch nei mesi non-baseline.
• Monitorare lo stato di conformità di tutti i server Arc da un’unica dashboard.
• Integrare con Azure Monitor per alert e reportistica.

Con AUM è possibile impostare una finestra di manutenzione mensile di 30 minuti per i riavvii baseline, sapendo che nei due mesi successivi nessun riavvio sarà necessario per gli aggiornamenti di sicurezza. Una politica ragionevole è schedulare i riavvii baseline nella notte del secondo mercoledì del mese baseline, allineandosi al ciclo Patch Tuesday di Microsoft.

Script PowerShell per il troubleshooting dell’agente Arc

Se dopo l’abilitazione l’hotpatch non si attiva correttamente, questo script PowerShell aiuta a diagnosticare i problemi più comuni:

# Verifica stato agente Azure Arc
$svc = Get-Service -Name "himds" -ErrorAction SilentlyContinue
if ($svc) {
    Write-Host "Azure Connected Machine Agent: $($svc.Status)"
} else {
    Write-Host "ERRORE: servizio HIMDS non trovato. Arc non e' installato."
}

# Verifica VBS
$vbs = Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' `
    -ClassName 'win32_deviceGuard' | `
    Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Write-Host "VBS Status: $vbs (2 = attivo, 0/1 = non attivo)"

# Verifica Secure Boot
$sb = Confirm-SecureBootUEFI -ErrorAction SilentlyContinue
Write-Host "Secure Boot abilitato: $sb"

# Log agente Arc (ultimi 50 errori)
$logPath = "C:\ProgramData\AzureConnectedMachineAgent\Logs"
if (Test-Path $logPath) {
    Get-ChildItem $logPath -Filter "*.log" | 
        Sort-Object LastWriteTime -Descending | 
        Select-Object -First 1 | 
        Get-Content | Select-String "ERROR","WARN" | 
        Select-Object -Last 50
}

Considerazioni finali

Il passaggio dell’hotpatching a servizio gratuito rappresenta un cambiamento significativo nella gestione delle patch per Windows Server. Prima era necessario scegliere tra la semplicità operativa (nessun riavvio) e il costo aggiuntivo ($1.50 USD per core al mese, introdotto a luglio 2025). Ora quella scelta non esiste più.

Per chi gestisce ambienti Windows Server 2025 ibridi o on-premises, il percorso consigliato è: verificare i prerequisiti hardware (UEFI + Secure Boot), connettere i server ad Azure Arc, abilitare l’hotpatch dal portale e configurare Azure Update Manager per le finestre di manutenzione baseline. Il risultato pratico: meno riavvii, meno downtime, meno stress per il team IT — senza costi aggiuntivi.

---

Fonte originale: 4sysops — Free Windows Server 2025 hotpatching with Azure Arc. Documentazione ufficiale: Microsoft Learn — Enable Hotpatch for Azure Arc-enabled servers. Annuncio Microsoft: Microsoft Tech Community.

Simplified access to Hotpatching enabled by Azure Arc for Windows Server 2025 | Microsoft Community Hub

With Windows Server 2025, we introduced hotpatch enabled by Azure Arc, delivering security updates to Windows Server across hybrid and multicloud...

^{sharmajyoti (TECHCOMMUNITY.MICROSOFT.COM)}

Privacy Pride

2026-05-19 21:24:59

Non dobbiamo normalizzare gli abusi della sorveglianza digitale. La nuova guida dell'EFF sottolinea i passi concreti da compiere per contrastarli.

Per contribuire a tracciare un percorso verso soluzioni, @eff lancia la guida "Contrastare la sorveglianza digitale arbitraria nelle Americhe" , che si aggiunge al nostro ampio lavoro volto a sfruttare le norme sui diritti umani per contrastare le violazioni della privacy da parte dello Stato.

eff.org/deeplinks/2026/05/we-m…

@privacypride@feddit.it

We Must Not Normalize Digital Surveillance Abuses. EFF’s New Guide Underlines Concrete Steps to Fight Back.

Poor accountability, feeble control mechanisms, and insufficient legal frameworks have led to systematic human rights violations in the Americas, with no consistent remedy or reparation to victims.

^{Electronic Frontier Foundation}