La vulnerabilità critica in FreePBX consente un accesso remoto senza autenticazione
Dopo che la vulnerabilità in FreePBX è stata scoperta, è stata immediatamente sfruttata attivamente nell’ecosistema della telefonia IP. La comunità ha notato compromissioni di massa il 21 agosto 2025, e da allora sintomi identici e tracce di manomissioni hanno iniziato a comparire sui forum. I ricercatori di watchTowr Labs hanno confermato che si tratta di un attacco remoto senza autenticazione correlato al modulo Endpoint commerciale e a un errore nell’elaborazione del class autoloader.
Al problema è stato assegnato l’identificatore CVE-2025-57819. FreePBX è un’interfaccia web per Asterisk utilizzata da tutti, dagli appassionati di home office ai fornitori di servizi e ai sistemi aziendali, quindi l’impatto si estende oltre i pannelli interni, consentendo l’accesso a chiamate, segreteria telefonica e registrazioni delle chiamate.
Il primo campanello d’allarme, il 25 agosto, è stato il crash di massa dell’interfaccia con un errore PHP relativo a una classe Symfony mancante. Il giorno successivo, uno degli amministratori ha mostrato un file .clean.sh improvvisamente apparso sul server. Lo script ha analizzato i log in “/var/log/*”, ha cancellato selettivamente le righe in cui potevano esserci riferimenti a web shell e nomi di servizi, per poi cancellarsi. Tale pulizia dei log è un tipico segnale di post-exploitation, quando gli aggressori cancellano le tracce e complicano l’analisi dell’incidente.
WatchTowr ha implementato un sensore FreePBX completamente monitorato e ne ha confrontato il comportamento prima e dopo le correzioni. È emerso che l’accesso diretto al codice vulnerabile si trova all’interno del modulo Endpoint e che il bundle di routing /admin/ajax.php e il meccanismo di caricamento automatico delle classi svolgono un ruolo cruciale. Il codice sorgente di FreePBX prevede un controllo class_exists per il valore del parametro del modulo e, con il valore di caricamento automatico PHP predefinito, questa chiamata passa una stringa all’utente fpbx_framework_autoloader.
Se si invia un modulo del tipo “FreePBXmodulesendpointajax“, l’autoloader raccoglie il percorso “/admin/modules/endpoint/ajax.php” e include semplicemente il file corrispondente, prima che la sessione venga verificata. In questo modo, il codice del modulo viene avviato senza login, ma a quel punto entra in gioco l’errore di validazione in Endpoint: l’iniezione SQL nei parametri del gestore ajax consente di manipolare il database di FreePBX.
In pratica, gli aggressori hanno prima creato un amministratore nascosto “ampuser” – ciò è confermato dalle richieste honeypot catturate, in cui un’operazione INSERT è stata iniettata nella tabella ampusers nel parametro brand. Quindi, per passare dall’accesso al database all’esecuzione di comandi, hanno aggiunto un record alla tabella cron_jobs con la pianificazione standard “* * * * *”, specificando il payload nel campo command – in questo modo, il codice è stato eseguito una volta al minuto per conto delle utilità di sistema di FreePBX. Questa catena watchTowr è stata riprodotta in laboratorio e, per verificare le tracce, è stato pubblicato un generatore di artefatti di rilevamento, che alternativamente tenta di registrare la web shell tramite cron o di aggiungere un nuovo utente.
Gli sviluppatori di FreePBX hanno risposto prontamente e hanno raccomandato di chiudere temporaneamente l’interfaccia di amministrazione tramite elenchi IP o un firewall e di installare aggiornamenti non pianificati per il modulo Endpoint. Per FreePBX 16/17, è stato suggerito il comando “fwconsole ma downloadinstall endpoint –edge”, per PBXAct 16 – “–tag 16.0.88.19”, per PBXAct 17 – “–tag 17.0.2.31”.
Nella descrizione dell’incidente, il team di FreePBX ha specificamente osservato che, a partire dal 21 agosto 2025, una persona sconosciuta ha iniziato ad accedere ai sistemi versione 16 e 17 accessibili da Internet senza un adeguato filtraggio e, dopo il login iniziale e una serie di passaggi sono stati concessi i diritti di root. Allo stesso tempo, watchTowr sottolinea che la correzione modulare risolve l’SQL injection, ma la causa principale, ovvero il caricamento automatico nel kernel, richiede ancora una riconsiderazione, poiché la connessione pre-autenticazione dei singoli file “.php” all’interno di “admin/modules” rimane una via accessibile.
L'articolo La vulnerabilità critica in FreePBX consente un accesso remoto senza autenticazione proviene da il blog della sicurezza informatica.
Windows 11: Microsoft Rinnova Esplora file introducendo l’intelligenza artificiale
Microsoft ha iniziato a testare nuove funzionalità basate sull’intelligenza artificiale in Esplora file di Windows 11. Queste funzionalità consentiranno agli utenti di interagire con immagini e documenti direttamente da Esplora file, senza dover aprire i file in app separate.
La nuova funzionalità si chiama “Azioni AI” e attualmente funziona con immagini JPG, JPEG e PNG, consentendo di effettuare le seguenti operazioni:
- Rimuovi sfondo in Paint: ritaglia rapidamente lo sfondo di un’immagine, lasciando solo il soggetto;
- Rimuovi oggetti con l’app Foto: consente di rimuovere elementi indesiderati dalle foto utilizzando l’intelligenza artificiale generativa;
- Sfoca lo sfondo utilizzando l’app Foto: mette a fuoco il soggetto sfocando lo sfondo;
- Ricerca immagini con Bing Visual Search : la ricerca visiva con Bing trova immagini, oggetti, punti di riferimento e altro simili sul Web.
“Le azioni AI” in Esplora file semplificano e velocizzano il lavoro con i file: basta fare clic con il pulsante destro del mouse, ad esempio, per modificare un’immagine o ottenere un riepilogo di un documento”, affermano i rappresentanti Microsoft Amanda Langowski e Brandon LeBlanc.
Queste nuove funzionalità sono disponibili in Windows 11 Insider Preview Build 27938. Insieme a queste, è stata introdotta un’altra utile funzionalità: in Impostazioni > Privacy e sicurezza > Generazione di testo e immagini, viene ora visualizzato un elenco delle app di terze parti che hanno utilizzato di recente modelli di intelligenza artificiale generativa locale di Windows.
L’utente può visualizzare questa attività e gestire l’accesso di queste app alle funzionalità di intelligenza artificiale.
A inizio maggio, Microsoft ha anche introdotto gli agenti di intelligenza artificiale , assistenti intelligenti in grado di modificare le impostazioni di Windows con un comando vocale o di testo. Queste funzionalità sono ora disponibili sui PC Copilot+ e sui processori Snapdragon.
L'articolo Windows 11: Microsoft Rinnova Esplora file introducendo l’intelligenza artificiale proviene da il blog della sicurezza informatica.
Un rapporto sull'istruzione redatto da alcuni stati canadesi auspica un uso etico dell'intelligenza artificiale. Ma contiene oltre 15 fonti inventate!
Un importante documento di riforma dell'istruzione contiene almeno 15 citazioni inventate che gli accademici sospettano siano state generate da un modello linguistico basato sull'intelligenza artificiale, nonostante lo stesso rapporto chieda un uso "etico" dell'intelligenza artificiale nelle scuole.
arstechnica.com/ai/2025/09/edu…
Education report calling for ethical AI use contains over 15 fake sources
Experts find fake sources in Canadian government report that took 18 months to complete.Benj Edwards (Ars Technica)
reshared this
Lo scam del GLP-1: pre-approvato da chi? Cronache dalla sanità parallela
Negli anni ’90 ti fregavano con un floppy trovato per terra. Oggi con un QR code attaccato sul lampione sotto casa. Cambia la superficie, resta la sostanza: se non coltivi l’anticorpo del dubbio, prima o poi clicchi.
reshared this
“Siate meccanici, siate luddisti”: così si resiste al tecnocapitalismo
Vivere le tecnologie come se fossero qualcosa che cade dall’alto ci rende passivi e ci limita a considerare “cosa fanno” senza concentrarci sul “perché lo fanno”. È il tema centrale del libro The Mechanic and the Luddite – A Ruthless Criticism of Technology and Capitalism, scritto dal ricercatore americano Jathan Sadowski
guerredirete.it/siate-meccanic…
“Siate meccanici, siate luddisti”: così si resiste al tecnocapitalismo - Guerre di Rete
Il meccanico comprende come funziona un sistema, il luddista sa perché è stato costruito. Il punto di vista di Jathan Sadowski, autore del libro The Mechanic and the LudditeGiuditta Mosca (Guerre di Rete)
Rozaŭtuno likes this.
reshared this
Mi accorgo sempre di più invece di persone che: "scusa, ho buttato le foto nel cestino, perché ho il disco pieno?" O peggio: "Internet? Io non uso Internet, ho solo whatsapp"
Rozaŭtuno likes this.
reshared this
Rozaŭtuno likes this.
informapirata ⁂ reshared this.
Questo discorso - purtroppo - è applicabile a molti campi. Ad esempio un tempo tutti sapevano com'era fatto un motore, e magari sapevano anche un po' riparare qualcosa sotto il cofano. Oggi, non più.
Suppongo che dipenda dal fatto che il livello di complessità delle cose è molto aumentato, mentre il cervello umano ha sempre la stessa capacità di immagazzinare informazioni. Non bastando più, si fanno (in consapevolmente) delle scelte.
Rozaŭtuno likes this.
Rozaŭtuno likes this.
@talksina sì, indubbiamente. Il marketing ci mette del suo. Tutti dobbiamo sentirci dei geni, anche se non è vero.
Un tempo le persone facevano calcoli complessi a mente anche solo per navigare, oggi ci perderemmo quasi tutti in mare.
Il punto è che se c'è qualcosa che fa le cose al posto tuo, quelle capacità le perdi. Che sia muoverti camminando, calcoli, sapere dove mettere le mani nel sistema operativo, ecc.
Vedrai con l'IA che muove il mouse quante conoscenze si perderanno
Se l'assistente vocale o testuale fa tutto, poi si sgolano molto meno per l'accessibilità quella vera. Diventa solo un rispetto delle normative sulla carta, ma poi per il resto ci pensa il bot. (1/2)
Informa Pirata likes this.
Informa Pirata reshared this.
Informa Pirata likes this.
Informa Pirata reshared this.
Io da progressista, mi affido alla parola stessa. Un progressista vero deve essere, principalmente, curioso. Farsi domande, anche scomode. (2/3)
Noi non capiamo i ragazzi di oggi cosa vogliono. E i nostri genitori non capivano noi! In riferimento al gioco, o altro. Poi il bello è che i mattoncini sfusi sono abbastanza compatibili tra di loro. Anche se su Lego specificamente mi sento di dire poco di male - cerca Braille Bricks
Io per le conoscenze informatiche che ho, mi sto divertendo un sacco con l'AI; chiusa quanto sia, ma se sai scrivere le parole e i comandi giusti, ottieni sorprese. Positive.
@talksina io lavoro come Project manager in campo informatico e per me è una manna dal cielo.
E' come avere a fianco un amico saggio a cui chiedere "Com'è quel comando di powershell che fa quella cosa, che non mi ricordo?"
E mi risparmia decine di minuti, se non ore, di ricerche.
Per il canale youtube stessa cosa, sto costruendo un mio sito su wordpress e penso che senza Copilot a guidarmi ci avrei messo il triplo del tempo . Ma io saprei muovermi anche senza, ci metterei solo di più.
Accessible AI Assistant | Ally
Ally is the most accessible AI assistant, available on iOS, Android, web, and now on Solos Glasses. Personalized, smart, and designed for everyone, especially the blind and low-vision community.Ally: Accessible AI Assistant
@talksina Ne ho sentito parlare! Lo proverò per le mie attività personali, ma effettivametne CoPilot ce l'ho già "pagato".
E in azienda è obbligatorio quello 😞
Un mio amico me l'ha raccontato, mi fido!
Il guaio è che sono tutti servizi a pagamento, se vuoi averli full-functional.
Poe - Fast, Helpful AI Chat
Poe gives you access to the best AI, all in one place. Explore GPT-5, Claude Opus 4.1, DeepSeek-R1, Veo 3, ElevenLabs, and millions of others.www.poe.com
@talksina Gentilissima, grazie 🙂
PS: fresco fresco di corso sull'accessibilità, il mio sito sarà a prova di screen reader.
O almeno, ce la metterò tutta!
L’Italia tra i grandi degli Spyware! Un grande terzo posto dopo Israele e USA
📌 Link all'articolo : redhotcyber.com/post/litalia-t…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
L'Italia tra i grandi degli Spyware! Un grande terzo posto dopo Israele e USA
Il settore dello spyware è in crescita, con investimenti statunitensi triplicati nell'ultimo anno. L'Atlantic Council rivela 128 investitori in 46 paesi.Redazione RHC (Red Hot Cyber)
reshared this
La vulnerabilità critica in FreePBX consente un accesso remoto senza autenticazione
📌 Link all'articolo : redhotcyber.com/post/la-vulner…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
La vulnerabilità critica in FreePBX consente un accesso remoto senza autenticazione
Scoperta una vulnerabilità critica in FreePBX, una popolare interfaccia web per Asterisk. Gli aggressori possono sfruttarla per eseguire attacchi remoti senza autenticazione.Redazione RHC (Red Hot Cyber)
reshared this
Jaguar Land Rover, un cyber attacco ferma la produzione: serve resilienza
@Informatica (Italy e non Italy 😁)
Jaguar Land Rover ha subito un cyber attacco attraverso un fornitore esterno, le indagini sono ancora in corso ma si può ipotizzare. Ecco come proteggersi in azienda dal furto di dati e paralisi operativa
L'articolo Jaguar Land Rover, un cyber attacco ferma la
Windows 11: Microsoft Rinnova Esplora file introducendo l’intelligenza artificiale
📌 Link all'articolo : redhotcyber.com/post/windows-1…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
Windows 11: Microsoft Rinnova Esplora file introducendo l'intelligenza artificiale
Microsoft introduce nuove funzionalità AI in Esplora file di Windows 11, semplificando il lavoro con immagini e documenti.Redazione RHC (Red Hot Cyber)
reshared this
Everything You Ever Wanted to Know about the Manhattan Project (But Were Afraid to Ask)
There have been plenty of books and movies about how the Manhattan Project brought together scientists and engineers to create the nuclear bomb. Most of them don’t have a lot of technical substance, though. You know — military finds genius, genius recruits other geniuses, bomb! But if you want to hear the story of the engineering, [Brian Potter] tells it all. We mean, like, all of it.
If you’re looking for a quick three-minute read, you’ll want to give this a pass. Save it for a rainy afternoon when you can settle in. Even then, he skips past a lot of what is well known. Instead, he spends quite a bit of time discussing how the project addressed the technical challenges, like separating out U235.
Four methods were considered for that task. Creating sufficient amounts of plutonium was also a problem. Producing a pound of plutonium took 4,000 pounds of uranium. When you had enough material, there was the added problem of getting it together fast enough to explode instead of just having a radioactive fizzle.
There are some fascinating tidbits in the write-up. For example, building what would become the Oak Ridge facility required conductors for electromagnets. Copper, however, was in short supply. It was wartime, after all. So the program borrowed another good conductor, silver, from the Treasury Department. Presumably, they eventually returned it, but [Brian] doesn’t say.
There’s the old story that they weren’t entirely sure they wouldn’t ignite the entire atmosphere but, of course, they didn’t. Not that the nuclear program didn’t have its share of bad luck.
CISA lancia nuovo piano per migliorare qualità CVE e difesa informatica globale
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha presentato il documento “CISA Strategic Focus CVE Quality for a Cyber Secure Future”, una visione strategica volta a ridefinire il programma Common Vulnerabilities and Exposures (CVE). L’obiettivo è orientare il sistema verso le reali esigenze della comunità globale della sicurezza informatica, ponendo al centro fiducia, reattività e qualità dei dati.
Il documento segna il passaggio da una fase di crescita quantitativa a un'”era di qualità”, che mira a rafforzare la logica costruttiva e l’evoluzione del sistema di difesa cibernetica. Il progetto CVE, nato come strumento universale di identificazione delle vulnerabilità, ha già raggiunto una vasta espansione, con oltre 460 autorità di numerazione coinvolte e una gestione collaborativa globale che ha migliorato l’efficienza complessiva delle attività.
Con l’avanzare della digitalizzazione e l’aumento delle esigenze di protezione delle infrastrutture critiche, il modello basato esclusivamente sull’espansione si è rivelato insufficiente. Da qui la necessità di una nuova fase, fondata sulla creazione di fiducia, sulla velocità di risposta e sulla qualità dei dati prodotti.
CISA ha ribadito che il progetto CVE è un bene pubblico essenziale e deve rispettare tre principi cardine: neutralità rispetto ai fornitori, collaborazione ampia e trasparenza dei processi. La governance, quindi, non deve favorire interessi particolari, ma garantire un approccio inclusivo e verificabile.
Un altro punto centrale è la gratuità e l’accessibilità del CVE, considerato un pilastro della difesa informatica globale. Su queste basi, CISA ha delineato alcune direttrici strategiche: ampliare la rete di partner internazionali, assicurare un sostegno finanziario stabile e avviare processi di modernizzazione dell’infrastruttura e dei servizi.
Tra le priorità indicate figurano anche il rafforzamento della trasparenza e della comunicazione con la comunità, la sistematica integrazione del feedback nella roadmap progettuale, l’ottimizzazione dell’esperienza utente e l’espansione del supporto API. Centrale, inoltre, l’impegno a migliorare la qualità dei dati attraverso standard minimi condivisi, arricchimento delle informazioni e l’uso di tecnologie avanzate come l’intelligenza artificiale.
Secondo CISA, il passaggio all'”era della qualità” avrà effetti non solo sulla resilienza cibernetica degli Stati Uniti, ma sull’intero scenario internazionale. La costruzione di una base dati più affidabile e di meccanismi di collaborazione rafforzati contribuirà a un sistema globale di difesa informatica più solido ed efficiente.
L'articolo CISA lancia nuovo piano per migliorare qualità CVE e difesa informatica globale proviene da il blog della sicurezza informatica.
Microsoft Teams alza la difesa: avvisi in tempo reale contro i link dannosi
Per rafforzare la sicurezza della sua piattaforma Teams, Microsoft implementerà un sistema di notifica automatica agli utenti riguardo alla presenza di link pericolosi all’interno dei messaggi di chat. Questa nuova funzione, integrata in Microsoft Defender per Office 365, ha come obiettivo primario la tutela degli utenti contro phishing, spam e malware, attraverso l’identificazione degli URL potenzialmente dannosi scambiati sia all’interno che all’esterno delle conversazioni.
I collegamenti vengono esaminati dal sistema, che li paragona con i motori di rilevamento, basati sull’intelligence delle minacce e sull’apprendimento automatico di Microsoft Defender, al fine di stabilire se costituiscono un rischio.
La distribuzione dell’aggiornamento in anteprima pubblica per i clienti aziendali avrà inizio all’inizio di settembre 2025. La disponibilità generale a livello mondiale sarà completata entro la metà di novembre 2025. Sarà possibile utilizzare la funzionalità su Microsoft Teams attraverso le piattaforme desktop, web, Android e iOS.
Al momento in cui un utente viene in contatto con un messaggio contenente un URL segnalato, un avviso esplicito compare direttamente nella chat, informandolo che il link potrebbe rappresentare un rischio per la sicurezza. Contestualmente, il sistema di notifica comunica anche al mittente che il link condiviso è stato identificato come potenzialmente pericoloso, dandogli la possibilità di correggere o cancellare il messaggio.
Nel caso in cui un link sia contrassegnato come nocivo entro un lasso di tempo di 48 ore dalla sua presentazione, il sistema provvederà ad applicare in via retroattiva un messaggio di avviso sul messaggio, attraverso un processo comunemente noto come Zero-hour auto purge (ZAP).
Il sistema di allarme innovativo si integra alle misure di sicurezza già presenti nell’ambiente Microsoft 365. La sua funzionalità si combina con quella di Safe Links, una caratteristica di Microsoft Defender per Office 365 che esegue la verifica al momento del clic, al fine di salvaguardare gli utenti dai collegamenti dannosi. Grazie ai nuovi messaggi di avviso, viene offerto un livello di protezione preventivo, che informa gli utenti prima che essi interagiscano con l’URL, diversamente da quanto avviene con Safe Links, che assicura protezione solo al momento del clic su un collegamento.
La funzionalità di protezione dagli URL dannosi sarà abilitata per impostazione predefinita una volta che sarà disponibile a livello generale a novembre 2025. Durante il periodo di anteprima pubblica a partire da settembre 2025, gli amministratori dovranno acconsentire all’attivazione degli avvisi.
Gli amministratori IT possono gestire le impostazioni della funzionalità tramite l’interfaccia di amministrazione di Teams, nella sezione “Impostazioni di messaggistica”, o tramite i comandi di PowerShell. Ciò consente alle organizzazioni di configurare la protezione in base alle proprie specifiche policy di sicurezza.
Si consiglia agli amministratori di rivedere queste impostazioni, aggiornare la documentazione interna e informare i propri team di supporto in merito alle nuove funzionalità per garantire un’implementazione senza intoppi.
L'articolo Microsoft Teams alza la difesa: avvisi in tempo reale contro i link dannosi proviene da il blog della sicurezza informatica.
Addio a PowerShell 2.0 e WMIC! La grande pulizia di Windows 11 è iniziata
Gli utenti di Windows 11 che hanno installato l’aggiornamento di settembre 2025 potrebbero pensare che non cambi praticamente nulla. A prima vista, KB5065426 sembra una normale piccola patch che Microsoft distribuisce a tutti.
Ma in realtà, le modifiche sono molto più evidenti di quanto sembri.
L’aggiornamento rimuove silenziosamente due vecchi strumenti che alcuni utenti potrebbero ancora avere sui propri sistemi: PowerShell 2.0 e la console WMIC (Windows Management Instrumentation Command-Line). Entrambi erano un tempo ampiamente utilizzati da amministratori e utenti avanzati, ma ora sono considerati obsoleti e non sicuri.
Strumenti che hanno fatto la storia di Windows
PowerShell 2.0 consentiva agli amministratori di lavorare con una shell di comandi Windows separata, ma negli ultimi anni è diventata una fonte di potenziali vulnerabilità. Microsoft se ne sta finalmente liberando, lasciando nel sistema la moderna PowerShell, attualmente disponibile nella versione 7.5.
WMIC, a sua volta, aiutava i clienti aziendali a raccogliere dati sui computer in rete, ma è da tempo considerato obsoleto. L’azienda sottolinea che entrambi gli strumenti sono praticamente inutilizzati e creano solo rischi aggiuntivi.
Oltre a rimuovere i vecchi componenti, l’aggiornamento prepara i computer per la versione principale di Windows 11 25H2, prevista per ottobre. Chi è interessato può provare subito una versione di anteprima.
In futuro, Microsoft promette di offrire agli amministratori maggiore libertà nella gestione della composizione del sistema. Ciò include la possibilità di disabilitare le applicazioni integrate e persino alcune funzioni di intelligenza artificiale utilizzando criteri di gruppo, per rendere Windows 11 più leggero e meno sovraccarico di servizi non necessari.
La visione strategica di Microsoft
La rimozione di PowerShell 2.0 e WMIC con l’aggiornamento di settembre 2025 non è solo un’operazione di pulizia, ma rappresenta un passo strategico per Microsoft. Eliminando strumenti obsoleti e potenzialmente vulnerabili, l’azienda crea le condizioni per ristrutturare gradualmente il codice di Windows, riducendo complessità e rischi. Questo processo permette di concentrare le risorse sullo sviluppo e sul miglioramento delle funzionalità moderne, garantendo un sistema più stabile e sicuro.
In pratica, queste “pulizie” facilitano un vero e proprio refactoring del sistema operativo: il codice viene semplificato e aggiornato senza interrompere le funzionalità principali. La rimozione degli strumenti datati permette agli sviluppatori di sostituire componenti superati con soluzioni più efficienti e sicure, preparandosi così alle future versioni di Windows 11 e alle esigenze di sicurezza sempre più stringenti.
L'articolo Addio a PowerShell 2.0 e WMIC! La grande pulizia di Windows 11 è iniziata proviene da il blog della sicurezza informatica.
Al Campus Spinoza di Amsterdam, 1.200 studenti tenuti in ostaggio dalle lavatrici
Un incidente insolito si è verificato al Campus Spinoza di Amsterdam: un aggressore sconosciuto ha hackerato il sistema di pagamento digitale di cinque lavatrici. Per diverse settimane, gli studenti hanno potuto utilizzare le lavatrici gratuitamente, finché Duwo, la società responsabile degli alloggi per studenti, non ha chiuso l’accesso alla lavanderia durante l’estate. Da allora, oltre 1.200 residenti non hanno potuto lavare i propri vestiti nel campus.
Duwo ha spiegato di non essere in grado di coprire le spese degli studenti: i fondi ricavati dai lavaggi a pagamento servivano per la manutenzione delle attrezzature e per mantenere le tariffe accessibili. Dopo la scoperta della violazione , l’accesso alle macchine è stato completamente bloccato. L’organizzatore dell’attacco non è stato trovato. Si è trattato della prima situazione del genere per le società olandesi.
Gli studenti sono stati costretti a usare dieci vecchie lavatrici manuali in un edificio vicino. Tuttavia, spesso si rompono a causa del sovraccarico e spesso solo una lavatrice funziona per l’intera comunità. I residenti affermano che le code stanno diventando enormi e alcuni sono preoccupati per le condizioni igieniche precarie. Molti notano che il caldo negli edifici è molto più fastidioso del cosiddetto “was-gate”. Altri ammettono di aver sempre preferito lavare i vestiti in questa lavanderia, dove ci sono più lavatrici e code più brevi.
L’esperto di sicurezza informatica Simen Rouwhof ha spiegato che l’hacking dei dispositivi smart home è una tendenza in crescita. Lavatrici o TV connesse a Internet possono essere intercettate utilizzando programmi su un laptop. I dispositivi catturati non solo sono in grado di lavare gratuitamente, ma possono anche essere utilizzati per attacchi informatici: se connessi a una rete, possono bloccare importanti siti web con richieste di massa (DDoS). Secondo Rouwhof, nel caso del campus, i colpevoli erano molto probabilmente gli studenti stessi, che hanno competenze di programmazione. Per loro, un simile esperimento avrebbe potuto rappresentare una sfida e un modo per affermarsi.
Dal punto di vista legale, le conseguenze sono gravi: l’accesso non autorizzato ai dispositivi può comportare fino a un anno di carcere e, se comporta il furto di fondi, la pena può arrivare fino a 6 anni. Ruwhof consiglia agli studenti di segnalare eventuali vulnerabilità riscontrate e di non utilizzarle per scopi personali, altrimenti il tribunale considererà tali azioni come reati.
Duwo ha affermato che passerà presto all’utilizzo di dispositivi tradizionali privi di moduli digitali per prevenire tali incidenti. Secondo Ruwhof, il rifiuto nelle apparecchiature “intelligenti” nelle aree comuni è giustificato: riduce il rischio di fughe di dati e previene la possibilità di attacchi. Ha osservato che anche gli specialisti sono tentati di esaminare tali dispositivi alla ricerca di vulnerabilità.
L'articolo Al Campus Spinoza di Amsterdam, 1.200 studenti tenuti in ostaggio dalle lavatrici proviene da il blog della sicurezza informatica.
#CyberSecurity
insicurezzadigitale.com/window…
Windows 11 rimuove PowerShell 2.0 e WMIC: Microsoft abbandona gli strumenti legacy per ragioni di sicurezza - (in)sicurezza digitale
Con l’aggiornamento di settembre 2025 per Windows 11, Microsoft ha silenziosamente rimosso due componenti storici del sistema operativo: PowerShell 2.0 eDario Fadda (inSicurezzaDigitale.com)
reshared this
Ah ah... prima o poi Bill Gates si sarebbe tradito!🤣
"voglio chiedere scusa per ogni dannata versione di Windows che faceva schifo, cioè praticamente tutte ... per aver creato virus per guadagnarci vendendovi l'antivirus ... per aver diffuso veri virus approfittando dei vaccini "
"Mi dispiace anche per aver sterilizzato così tanti di voi. Siamo semplicemente troppi, e alcuni non sono simpatici..."
No @DavidPuente stavolta è troppo bello per essere finto 🤣🤣🤣
open.online/2025/09/12/video-f…
Le false confessioni di Bill Gates a Trump: Windows, virus, vaccini ed Epstein
Il video alterato è stato pubblicato per la prima volta da un account parodisticoOpen
reshared this
Il disegno di legge sull'intelligenza artificiale di Ted Cruz potrebbe consentire alle aziende di corrompere Trump per eludere le leggi sulla sicurezza
Il DDL del senatore Texano vuole "promuovere la leadership americana" nell'IA, ma in realtà dà alla Casa Bianca un'autorità senza precedenti per consentire alle bigtech di accordarsi con l'amministrazione Trump per fermare le leggi che proteggono i cittadini da sconsiderati esperimenti IA.
arstechnica.com/tech-policy/20…
Ted Cruz AI bill could let firms bribe Trump to avoid safety laws, critics warn
Ted Cruz won’t give up fight to block states from regulating AI.Ashley Belanger (Ars Technica)
reshared this
Windows 11 rimuove PowerShell 2.0 e WMIC: Microsoft abbandona gli strumenti legacy per ragioni di sicurezza
@Informatica (Italy e non Italy 😁)
Con l’aggiornamento di settembre 2025 per Windows 11, Microsoft ha silenziosamente rimosso due componenti storici del sistema operativo: PowerShell 2.0 e lo strumento da riga di comando WMIC (Windows
[AF]2050 reshared this.
La cyber security deve essere per tutti: come rendere accessibile la sicurezza digitale
@Informatica (Italy e non Italy 😁)
Chi pensa che la cyber security sia una nicchia tecnologica per pochi, forse non sa che dal 16 al 19 settembre è possibile toccare con mano, conoscere e avvicinarsi a questa branca del sapere incontrando gli esperti che si occupano di
securityaffairs.com/182144/sec…
#securityaffairs #hacking
Cisco fixes high-severity IOS XR flaws enabling image bypass and DoS
Cisco addressed multiple high-severity IOS XR vulnerabilities that can allow ISO image verification bypass and trigger DoS conditions.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
Microsoft evita la multi UE separando Teams da Office. L'indagine dell'UE è stata avviata dopo la denuncia di Slack nel 2020.
Microsoft aveva già separato Teams da Office 365 nell'UE ma poi ha dovuto assumere ulteriori impegni sull'interoperabilità; l'autorità di regolamentazione dell'UE ha quindi dichiarato che MS ha contribuito a ripristinare una concorrenza legale e ad aprire il mercato ad altri fornitori.
arstechnica.com/tech-policy/20…
Microsoft dodges EU fine by unbundling Teams from Office
EU probe came after complaint by Slack in 2020.Financial Times (Ars Technica)
reshared this
Presunto antisemitismo: l'Università della California a Berkeley consegna al governo federale i dati personali di oltre 150 studenti e membri dello staff
Il Dipartimento dell'Istruzione ha ottenuto dall'Ufficio per i diritti civili e dall'Università della California a Berkeley i nomi delle persone e il loro "potenziale collegamento" con segnalazioni di presunto antisemitismo, secondo un'e-mail della portavoce del campus Janet Gilmore.
dailycal.org/news/campus/uc-be…
UC Berkeley turns over personal information of more than 150 students and staff to federal government
UC Berkeley has provided the personal information of roughly 160 students, staff and faculty to the federal government in a directive from the UC Office of the President.www.dailycal.org
reshared this
L’Italia e il mondo degli Zero Day. Zero cultura, Zero etica e soprattutto Zero CNA!
📌 Link all'articolo : redhotcyber.com/post/litalia-e…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
L'Italia e il mondo degli Zero Day. Zero cultura, Zero etica e soprattutto Zero CNA!
Zero Day, etica e divulgazione: perché è fondamentale condividere le vulnerabilità informatiche e perché è importante incentivare la creazione di CNA.Massimiliano Brolli (Red Hot Cyber)
reshared this
La Polizia Postale sequestra il sito Phica.net
@Informatica (Italy e non Italy 😁)
La Polizia Postale e delle Comunicazioni, attraverso il Servizio centrale per la sicurezza cibernetica, sta portando a termine in queste ore le operazioni tecniche legate al sequestro della piattaforma “Phica.net”. Il provvedimento è stato disposto dalla Procura della Repubblica presso il Tribunale di Roma e mira a
CISA lancia nuovo piano per migliorare qualità CVE e difesa informatica globale
📌 Link all'articolo : redhotcyber.com/post/cisa-lanc…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
CISA lancia nuovo piano per migliorare qualità CVE e difesa informatica globale
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti presenta una nuova strategia per il programma Common Vulnerabilities and Exposures (CVE) per migliorare la qualità e la fiducia dei dati.Redazione RHC (Red Hot Cyber)
reshared this
Microsoft Teams alza la difesa: avvisi in tempo reale contro i link dannosi
📌 Link all'articolo : redhotcyber.com/post/microsoft…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
Microsoft Teams alza la difesa: avvisi in tempo reale contro i link dannosi
Microsoft Teams introduce avvisi per link dannosi per proteggere gli utenti da phishing e malwareRedazione RHC (Red Hot Cyber)
reshared this
securityaffairs.com/182135/hac…
#securityaffairs #hacking #Android
Samsung fixed actively exploited zero-day
Samsung fixed the remote code execution flaw CVE-2025-21043 that was exploited in zero-day attacks against Android devices.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
Oltre il phishing: come l’ingegneria sociale (potenziata dall’AI) sposta l’attacco sull’identità
@Informatica (Italy e non Italy 😁)
L’ingegneria sociale continua a essere il grimaldello più affidabile per iniziare un’intrusione e l’avvento dell’AI non ha fatto altro che rendere più veloce, credibile e scalabile un attacco del genere. Ecco soluzioni e
Addio a PowerShell 2.0 e WMIC! La grande pulizia di Windows 11 è iniziata
📌 Link all'articolo : redhotcyber.com/post/addio-a-p…
Gli #utenti di Windows 11 che hanno installato l’aggiornamento di settembre 2025 potrebbero pensare che non cambi praticamente nulla. A prima vista, KB5065426 sembra una normale piccola #patch che #Microsoft distribuisce a tutti.
Ma in realtà, le modifiche sono molto più evidenti di quanto sembri. L’aggiornamento rimuove silenziosamente due vecchi #strumenti che alcuni #utenti potrebbero ancora avere sui propri #sistemi: PowerShell 2.0 e la console WMIC (Windows Management Instrumentation Command-Line).
A cura di Redazione RHC
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
Addio a PowerShell 2.0 e WMIC! La grande pulizia di Windows 11 è iniziata
L'aggiornamento KB5065426 di Windows 11 rimuove PowerShell 2.0 e WMIC, considerati obsoleti e non sicuri. Novità in vista per la gestione del sistema.Redazione RHC (Red Hot Cyber)
reshared this
How Strong of a Redbull Can You Make?
Energy drinks are a staple of those who want to get awake and energetic in a hurry. But what if said energy is not in enough of a hurry for your taste? After coming across a thrice concentrated energy drink, [Nile Blue] decided to make a 100 times concentrated Redbull.
Energy drinks largely consist of water with caffeine, flavoring and sugar dissolved inside. Because a solution can only be so strong, so instead of normal Redbull, a sugar free variant was used. All 100 cans were gathered into a bucket to dry the mixture, but first, it had to be de-carbonated. By attaching a water agitator to a drill, all the carbon dioxide diffused in the water fell out of solution. A little was lost after the Redbull was lost, but the process worked extremely well.
From there, the Redbull was moved to a fancy vortex drying machine. While simply evaporating the water in a food dehydrator is an option, it takes a very long time and does not preserve the flavor. The solution to patience is expensive machines from China. This particular machine works by shooting in a mist of liquid into a vortex of hot air. This causes the solids to fall out of solution and separate into a powder which is collected. Much of the powder got caked in the vortex funnel and with much effort, a portion of it was removed by a chisel, and washing with water. Of course, the portion washed with water had to be dried in a food dehydrator, which took ten days. Unfortunately, the machine did not work perfectly and about 33.5 cans worth of Redbull powder where lost along the way.
To math the volume of a standard can of Redbull, all 250 grams of powder would need to be dissolved in a mere 250ml of water, a theoretical 67 times concentrated Redbull. While it did mostly dissolve into a somewhat grainy thick sludge, the powder added so much volume it ended up being equivalent to a 37 times concentration. A mere 7ml of this concoction amounts to a single Redbull, likely the strongest concentration of Redbull possible. Of course, for the full Redbull experience, the sludge was carbonated and finally packaged in an appropriate jar.
If you like strange and potentially dangerous chemistry hacks, make sure to check out this gold nonparticipant fabrication project next!
youtube.com/embed/7arjH-sGWFM?…
Alla ricerca di Volodymyr Tymoshchuk! 11 milioni di dollari per l’hacker di Nefilim
Il Dipartimento di Giustizia degli Stati Uniti ha incriminato l’ucraino Volodymyr Tymoshchuk con sette capi d’accusa relativi a pirateria informatica ed estorsione. È considerato uno degli hacker più pericolosi degli ultimi anni.
L’indagine sostiene che Tymoshchuk e i suoi complici abbiano distribuito i virus LockerGoga, MegaCortex e Nefilim. Questi programmi crittografavano i dati delle vittime e gli aggressori chiedevano un riscatto, minacciando di pubblicare informazioni riservate.
“Tymoshchuk è un aggressore ransomware seriale che ha preso di mira importanti aziende statunitensi, istituzioni sanitarie e importanti imprese industriali straniere”, ha affermato Joseph Nocella Jr., procuratore degli Stati Uniti per il distretto orientale di New York.
Secondo i pubblici ministeri, il gruppo ha attaccato più di 250 aziende negli Stati Uniti e centinaia di organizzazioni in tutto il mondo da dicembre 2018 a ottobre 2021. Gli aggressori hanno utilizzato gli strumentiCobalt Strike e Metasploit e hanno anche coinvolto intermediari che hanno fornito credenziali rubate.
Il 7 maggio 2024, è stato emesso un mandato di arresto federale per Tymoshchuk presso la Corte distrettuale degli Stati Uniti, distretto orientale di New York, Brooklyn, New York, dopo che è stato accusato di due capi d’imputazione per cospirazione allo scopo di commettere frode e attività correlate in relazione a computer; molteplici capi d’imputazione per danneggiamento intenzionale di un computer protetto; accesso non autorizzato a un computer protetto; e trasmissione di una minaccia per divulgare informazioni riservate.
Secondo l’atto d’accusa, le vittime erano esclusivamente grandi aziende con un fatturato superiore a 100 milioni di dollari. In alcuni casi, i risarcimenti hanno superato il milione di dollari. Uno degli attacchi più noti è stato il cyberattacco a Norsk Hydro nel 2019: il virus ha bloccato decine di migliaia di computer in 170 sedi dell’azienda in 40 paesi, causando danni per 81 milioni di dollari.
L’FBI stima che il danno totale causato dalle attività di Tymoshchuk e del suo gruppo ammonti a circa 18 miliardi di dollari. Gli Stati Uniti offrono una ricompensa di 11 milioni di dollari per l’assistenza nella sua cattura.
L’hacker è ricercato anche in Francia, dove figura nella lista dei criminali più ricercati. Nel 2024, la polizia spagnola ha arrestato il suo complice Artem Strizhak, che è stato poi estradato negli Stati Uniti.
L'articolo Alla ricerca di Volodymyr Tymoshchuk! 11 milioni di dollari per l’hacker di Nefilim proviene da il blog della sicurezza informatica.
How the TI-99/4A Home Computer Worked
Over on YouTube [The 8-Bit Guy] shows us how the TI-99/4A home computer worked.
[The 8-Bit Guy] runs us through this odd 16-bit home computer from back in the 1980s, starting with a mention of the mysterious extra “space” key on its antiquated keyboard. The port on the side is for two joysticks which share a bus, but you can find boards for compatibility with “newer” hardware, particularly the Atari-style joysticks which are easier to find. The AV port on the back is an old 5-pin DIN such as was typical from Commodore and Atari at the time (also there is a headphone port on the front). The other DB9 port on the back of the device is the port for the cassette interface.
The main cartridge interface is on the front right of the machine, and there’s a smaller expansion socket on the right hand side. The front interface is for loading software (on cartridges) and the side interface is for peripherals. The system boots to a now famous “press any key” prompt. (We know what you’re thinking: “where’s the any key!?” Thanks Homer.)
One curiosity is that when the system is waiting for a command the screen background color is a light blue, and when it’s running a command the background color changes to a light green. [The 8-bit Guy] demos some equation calculator software which has support for variables and expressions. In addition to the equation calculator the same cartridge has a version of BASIC (called TI BASIC) and a version of Space Invaders (called TI INVADERS). (Yes, the interface is all uppercase.)
When they were designing the system the TI-99/4A engineers had been considering an 8-bit CPU but they settled on the 16-bit TMS9900 instead. However, much of the board had already been designed for an 8-bit CPU, which lead it to being a bit of a weird hybrid. The CPU only has 15 address lines but it makes up for it by addressing two bytes at a time, allowing it to read up to 64K.
[The 8-Bit Guy] goes on to discuss the computer architecture, the Graphic Programming Language (GPL), and its various BASIC implementations. Also the internals of the cartridges are explored along with the Video Display Processor (VDP) which supported rudimentary graphics mode (32×24 characters with 15 colors and 32 sprites) in addition to a text mode (40×24 characters). The 4-voice sound generator chip was the SN76489, this chip proved to be useful in many other products as well.
[The 8-Bit Guy] finishes his video with a look at the expansion capabilities, which basically just daisy chain off the right hand side. Each of the peripheral devices demands its own power supply too!
If you’re interested in the TI-99/4A check out Persistence Pays In TI-99/4A Cassette Tape Data Recovery and Don’t Mess With Texas – The TI-99/4A Megademo.
youtube.com/embed/-0Jtv8hvau4?…
La Cina denuncia: 600 attacchi informatici APT nel 2024. Washington è nel mirino
Durante una conferenza stampa ordinaria, il portavoce del Ministero degli Esteri Guo Jiakun ha risposto a domande dei giornalisti su diversi temi di attualità internazionale. Al centro della discussione vi sono stati gli attacchi informatici attribuiti agli Stati Uniti, le tensioni commerciali legate ai dazi e le sanzioni imposte da Washington contro esponenti palestinesi.
In merito alla sicurezza informatica, Guo ha commentato le segnalazioni della China Cyberspace Security Association, che ha denunciato oltre 600 attacchi informatici compiuti nel 2024 da gruppi APT stranieri contro istituzioni cinesi. Secondo l’associazione, tali azioni avrebbero sfruttato Germania, Corea del Sud, Singapore e Paesi Bassi come basi di lancio per colpire infrastrutture critiche cinesi.
Guo ha definito queste rivelazioni come “nuove prove” delle attività ostili degli Stati Uniti contro la Cina, sottolineando come ciò confermi la posizione di Pechino sugli Stati Uniti, accusati di essere la principale minaccia informatica. Ha aggiunto che la Cina continuerà ad adottare le misure necessarie per garantire la propria sicurezza.
Il portavoce ha inoltre evidenziato che gli Stati Uniti avrebbero utilizzato i loro alleati regionali ed europei come trampolino di lancio per le attività informatiche ostili. Ha ribadito che, secondo la posizione cinese, la cybersicurezza rappresenta una sfida comune per tutti i Paesi e deve essere affrontata con cooperazione e dialogo.
Sul fronte commerciale, Guo ha commentato la decisione del presidente statunitense Trump di firmare un ordine esecutivo per imporre dazi alla maggior parte dei Paesi. Ha ribadito la posizione chiara della Cina contro l’abuso dei dazi, affermando che le guerre commerciali non hanno vincitori e che il protezionismo danneggia gli interessi di tutte le parti coinvolte.
Un altro tema trattato è stato quello delle sanzioni statunitensi annunciate il 31 luglio contro funzionari dell’Autorità Nazionale Palestinese e dell’Organizzazione per la Liberazione della Palestina. Guo ha espresso shock e delusione per la decisione americana, giudicata incomprensibile di fronte agli sforzi della comunità internazionale per favorire la pace.
Infine, Guo ha ribadito la posizione della Cina sul conflitto mediorientale, sottolineando che la questione palestinese resta centrale per l’equità e la giustizia internazionale. Ha riaffermato il sostegno cinese alla giusta causa del popolo palestinese e alla soluzione dei due Stati, invitando la comunità internazionale, in particolare gli Stati Uniti, ad assumersi la responsabilità di promuovere una soluzione equa e duratura.
L'articolo La Cina denuncia: 600 attacchi informatici APT nel 2024. Washington è nel mirino proviene da il blog della sicurezza informatica.
Gazzetta del Cadavere reshared this.
Attacco informatico alle autorità cinesi. Malware e furto di info riservate
Un recente attacco informatico ha preso di mira gli account di posta elettronica aziendali di un’agenzia governativa cinese, con l’obiettivo di rubare informazioni riservate. Secondo le autorità, dietro l’operazione ci sarebbe una forza straniera ostile e anti-Cina che, dopo aver ottenuto l’accesso, ha utilizzato gli account compromessi come trampolino di lancio per diffondere malware anche presso altre unità collegate. L’intervento immediato delle autorità di sicurezza nazionale ha permesso di avviare controlli approfonditi e azioni di ripristino, limitando i danni e contenendo la minaccia.
Le indagini hanno mostrato che gli aggressori hanno fatto leva su tecniche di phishing e intrusioni tecniche per infiltrarsi negli account compromessi. Una volta dentro, hanno attivato in segreto risposte automatiche contenenti virus: chiunque scrivesse agli indirizzi infetti riceveva un messaggio malevolo, diventando a sua volta una nuova fonte di attacco.
Questo meccanismo a catena ha ampliato rapidamente la portata della campagna e reso difficile il controllo, aggravato anche dalla diffusione di contenuti dannosi con l’obiettivo di fuorviare il pubblico e creare rischi sociali e di sicurezza.
L’attacco ha colpito in particolare un dipartimento di gestione di un settore industriale sensibile, monitorato con attenzione da agenzie di spionaggio straniere. Le informazioni sottratte, se sfruttate, avrebbero potuto compromettere gravemente gli interessi nazionali e la sicurezza del Paese. L’inchiesta ha inoltre evidenziato come la gestione carente della sicurezza informatica all’interno di alcune unità abbia agevolato l’infiltrazione.
Tra le criticità riscontrate figurano la protezione insufficiente dei terminali e controlli di sicurezza poco rigorosi. Nonostante alcune misure fossero in vigore, gli account venivano condivisi da più utenti e la gestione delle autorizzazioni era confusa. Nei terminali non venivano applicati in modo sistematico crittografia obbligatoria e scansioni antivirus, mentre l’uso promiscuo di dispositivi mobili di archiviazione favoriva infezioni incrociate.
Un ulteriore problema è emerso nella scarsa consapevolezza del personale. In passato alcune unità avevano già subito attacchi informatici con conseguenti fughe di dati, ma gli errori non sono stati corretti. Dipendenti continuavano a cliccare su e-mail sospette o a usare dispositivi non dedicati per trattare dati sensibili, aumentando il rischio di nuove perdite.
L’agenzia per la sicurezza nazionale cinese ha quindi diffuso una serie di raccomandazioni. Tra queste: rafforzare la formazione e la consapevolezza, imparare a riconoscere informazioni false e non aprire allegati o link sospetti. Sul piano tecnico, è stato raccomandato l’uso di password complesse e aggiornate regolarmente, nonché l’attivazione di sistemi di autenticazione a più fattori per la protezione degli account aziendali.
Infine, le autorità hanno sollecitato un rafforzamento della protezione dei terminali, con sistemi di posta autocontrollati, aggiornamenti costanti e scansioni antivirus periodiche. È stato inoltre ribadito che la collaborazione del pubblico è fondamentale: eventuali attività di spionaggio possono essere segnalati alla hotline 12339, alla piattaforma online www.12339.gov.cn, al canale WeChat del Ministero della Sicurezza nazionale o direttamente presso le sedi locali competenti.
L'articolo Attacco informatico alle autorità cinesi. Malware e furto di info riservate proviene da il blog della sicurezza informatica.
Presunta violazione al Comune di Firenze: accesso e dati in vendita nel Dark Web
Un nuovo annuncio comparso in un forum underground solleva preoccupazioni sulla sicurezza dei dati dei cittadini italiani. L’utente con nickname krektti ha messo in vendita quello che descrive come l’accesso e i database del Comune di Firenze, per la cifra di 1.500 dollari.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
I dettagli del post
Nel messaggio pubblicato poche ore fa, il venditore specifica:
- Target: Comune di Firenze (comune.fi.it)
- Prezzo richiesto: 1.500 dollari
- Contatto: messaggi privati o session key
- Contenuto presunto: campioni di dati strutturati che richiamerebbero un archivio anagrafico, con campi come idVia, idResidente, codice fiscale, nome, cognome, data di nascita, numero civico e codice famiglia.
Se i dati fossero autentici, sarebbero altamente sensibili e appetibili per attività criminali come frodi, furti d’identità o attacchi di social engineering mirati.
La reputazione del threat actor
Nel contesto dei forum underground, la reputazione è un elemento fondamentale che determina la credibilità e l’affidabilità di un venditore. L’utente krektti, autore del post, risulta avere un livello di reputazione elevato all’interno della piattaforma (81 punti) e lo status di “GOD”, segno che ha già effettuato numerose interazioni con successo nella community.
Questo non certifica automaticamente l’autenticità dei dati messi in vendita, ma rappresenta un segnale importante: in ambienti cybercriminali, una buona reputazione riduce il rischio per gli acquirenti di cadere in truffe e rende più probabile che l’autore sia realmente in possesso del materiale offerto. Di conseguenza, gli annunci di krektti vengono percepiti con maggiore serietà rispetto a quelli di venditori alle prime armi o con scarsa affidabilità.
Nessuna conferma ufficiale, ma un precedente
Al momento, non esistono comunicati stampa o note ufficiali da parte del Comune di Firenze o delle autorità competenti. Non è quindi possibile stabilire se si tratti di una reale violazione, di una frode (con dati falsi o riciclati da altre fonti) o di un tentativo di trarre profitto sfruttando l’effetto annuncio.
È interessante notare che lo stesso utente, solo nella giornata di ieri, aveva pubblicato un altro annuncio relativo al Comune di Canegrate, in provincia di Milano. Anche in quel caso sosteneva di aver ottenuto accesso ai sistemi e ai dati anagrafici. Questa sequenza di post fa sorgere spontanee alcune domande: perché concentrare l’attenzione sull’Italia?
Initial Access Broker e dinamiche criminali
Il comportamento osservato richiama quello degli Initial Access Broker (IAB): attori che si specializzano nel penetrare reti e sistemi, per poi rivendere l’accesso o i dati a gruppi più organizzati, ad esempio operatori di ransomware.
In questo caso, krektti potrebbe non avere alcun interesse diretto a sfruttare i dati, ma solo a monetizzare la compromissione vendendo il “pass” a qualcun altro.
La presunta violazione al Comune di Firenze, insieme al precedente annuncio riguardante Canegrate, rafforza l’idea che l’Italia sia sempre più attenzionata nei mercati cybercriminali. Anche se non ci sono conferme ufficiali, la sola pubblicazione di questi annunci dovrebbe spingere enti locali e istituzioni a rafforzare i propri sistemi di difesa e ad avviare monitoraggi preventivi.
L'articolo Presunta violazione al Comune di Firenze: accesso e dati in vendita nel Dark Web proviene da il blog della sicurezza informatica.
Gazzetta del Cadavere reshared this.
Microsoft avverte: vulnerabilità critiche in Office! Utenti e Admin a rischio
Il 9 settembre 2025 sono state individuate due vulnerabilità significative in Microsoft Office, per le quali sono state create patch dedicate; queste vulnerabilità, qualora sfruttate da malintenzionati, permettono l’esecuzione di codice dannoso sui sistemi coinvolti. Le vulnerabilità, identificate come CVE-2025-54910 e CVE-2025-54906, hanno sollevato preoccupazioni per la sicurezza degli utenti, poiché hanno interessato varie versioni della nota suite di produttività.
Considerando che Microsoft reputa poco probabile lo sfruttamento di queste vulnerabilità nello stato attuale, tuttavia, la possibilità di eseguire codice remoto richiede un intervento urgente da parte degli utenti e degli amministratori di sistema. La sicurezza degli utenti è a rischio a causa di tali vulnerabilità.
A causa di tali vulnerabilità, individuate come CVE-2025-54910 e CVE-2025-54906, la sicurezza degli utenti risulta essere a rischio, avendo esse interessato diverse versioni della popolare suite di produttività. Sebbene Microsoft ritenga poco probabile lo sfruttamento di queste vulnerabilità allo stato attuale, l’eventualità di eseguire codice remoto necessita di un intervento tempestivo da parte degli utenti e degli amministratori.
Le due vulnerabilità presentano differenze sia nei metodi di sfruttamento sia nella loro gravità, essendo una classificata come Critica e l’altra come Importante. La falla più severa, contraddistinta da CVE-2025-54910, risulta essere una vulnerabilità critica causata da un heap buffer overflow.
Questo tipo di vulnerabilità, catalogata come CWE-122, può consentire a un aggressore non autorizzato di eseguire codice arbitrario localmente su una macchina target. Un aspetto particolarmente pericoloso di questa vulnerabilità è che il riquadro di anteprima di Microsoft Office funge da vettore di attacco.
Ciò significa che un aggressore potrebbe potenzialmente attivare l’exploit senza alcuna interazione da parte dell’utente, se non quella di ricevere e visualizzare un file dannoso in una finestra di Explorer. La seconda vulnerabilità, CVE-2025-54906, è classificata come high e deriva da una condizione Use-After-Free, tracciata come CWE-416.
Questa falla consente anche l’esecuzione di codice remoto, ma il suo vettore di sfruttamento differisce significativamente dall’overflow basato su heap. Per sfruttare questa vulnerabilità, un aggressore deve creare un file dannoso e indurre l’utente ad aprirlo tramite ingegneria sociale.
A differenza dell’altra falla, il riquadro di anteprima non è un vettore di attacco per il CVE-2025-54906, il che significa che l’utente deve interagire attivamente con il contenuto dannoso. Questa necessità di interazione da parte dell’utente è una delle ragioni principali del suo livello di gravità inferiore rispetto alla vulnerabilità del riquadro di anteprima.
Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere queste vulnerabilità per la maggior parte dei software interessati. L’azienda consiglia ai clienti di applicare tutti gli aggiornamenti offerti per il software installato sui propri sistemi per garantire una protezione completa.
Le vulnerabilità individuate in Microsoft Office, CVE-2025-54910 e CVE-2025-54906, rappresentano una minaccia significativa per la sicurezza degli utenti, consentendo potenzialmente l’esecuzione di codice dannoso sui sistemi coinvolti. Sebbene Microsoft consideri poco probabile lo sfruttamento di tali vulnerabilità allo stato attuale, è fondamentale applicare tempestivamente le patch di sicurezza rilasciate per mitigare il rischio.
L'articolo Microsoft avverte: vulnerabilità critiche in Office! Utenti e Admin a rischio proviene da il blog della sicurezza informatica.
Microsoft: bug critico in Active Directory Domain Services. Rischio escalation a SYSTEM
Microsoft ha recentemente pubblicato un avviso di sicurezza riguardante una nuova vulnerabilità che interessa i servizi Active Directory Domain Services (AD DS). La falla, identificata con il codice CVE-2025-21293, è classificata come una vulnerabilità di tipo Elevation of Privilege e, se sfruttata con successo, può consentire a un attaccante di ottenere i privilegi SYSTEM, ovvero il livello più alto di autorizzazione in ambiente Windows.
Si tratta di un problema estremamente rilevante perché i controller di dominio sono il cuore delle infrastrutture aziendali: controllano l’autenticazione, l’autorizzazione e la gestione centralizzata di utenti, gruppi, computer e policy di sicurezza. Un attacco riuscito contro un controller di dominio equivale, in molti casi, al controllo completo dell’intera rete aziendale.
Origine della vulnerabilità
Il bug deriva da controlli di accesso impropri (CWE-284) all’interno di AD DS. In pratica, alcune operazioni non vengono gestite correttamente dal meccanismo di sicurezza del servizio, permettendo a un utente autenticato di eseguire codice con privilegi più elevati del dovuto.
A differenza di altre vulnerabilità che permettono l’accesso remoto senza credenziali, in questo caso l’attaccante deve già disporre di credenziali valide. Queste possono essere ottenute tramite:
- phishing mirato;
- credential stuffing (riutilizzo di password compromesse);
- exfiltrazione di hash NTLM/Kerberos tramite altre tecniche di attacco.
Una volta autenticato, l’attaccante può lanciare un’applicazione appositamente realizzata per sfruttare la falla ed eseguire codice arbitrario a livello SYSTEM.
Gravità e rischi concreti
Microsoft ha classificato la vulnerabilità come “Exploitation Less Likely”, indicando che non è banale da sfruttare. Tuttavia, il rischio rimane altissimo, perché:
- Privilegi SYSTEM permettono di installare malware, rootkit o backdoor difficili da rilevare.
- Un attaccante può creare nuovi account amministrativi con cui mantenere persistenza anche dopo eventuali remediation.
- Un controller di dominio compromesso apre la strada a movimenti laterali all’interno della rete, facilitando il furto di dati, la distribuzione di ransomware o attacchi supply chain interni.
- In scenari peggiori, l’intera forest di Active Directory può essere compromessa, invalidando l’integrità delle identità digitali aziendali.
È bene ricordare che, storicamente, la compromissione di Active Directory è stata uno degli obiettivi principali nei grandi attacchi informatici, proprio per il suo ruolo di “chiave di volta” nell’infrastruttura IT.
La vulnerabilità è emersa alla luce pubblica il 14 gennaio 2025, quando è stata segnalata per la prima volta; da allora Microsoft ha seguito il caso raccogliendo informazioni tecniche e valutando l’impatto. Nel corso dei mesi successivi i ricercatori e i team di sicurezza hanno analizzato il comportamento del bug, e il quadro si è fatto più chiaro solo con l’aggiornamento ufficiale del 9 settembre 2025, in cui Microsoft ha fornito dettagli aggiuntivi e indicazioni operative per le contromisure.
Ad oggi non ci sono prove concrete di exploit pubblici né segnalazioni verificate di attacchi in corso che sfruttino la falla “in the wild”. Questo non significa però che il problema sia trascurabile: il fatto che la vulnerabilità richieda credenziali valide per essere sfruttata riduce la probabilità di attacchi opportunistici, ma non impedisce che attori mirati — gruppi APT o criminali informatici ben organizzati — possano studiarla a fondo per sviluppare un exploit affidabile.
Per le organizzazioni il messaggio è quindi duplice: da un lato c’è un elemento rassicurante — nessuna ondata di sfruttamenti noti al pubblico — dall’altro c’è la necessità di non abbassare la guardia. La sequenza temporale degli eventi mostra che la vulnerabilità è stata presa sul serio e aggiornata con informazioni tecniche, ma rimane responsabilità dei team IT applicare le patch e rafforzare i controlli per evitare che la situazione evolva rapidamente in una minaccia attiva.
Mitigazioni e raccomandazioni di sicurezza
Microsoft ha rilasciato aggiornamenti di sicurezza specifici e invita le organizzazioni a patchare immediatamente i controller di dominio. Oltre alla correzione diretta, è opportuno rafforzare la postura di sicurezza generale:
- Aggiornamenti regolari: mantenere costantemente aggiornati sistema operativo, AD DS e tutti i componenti critici.
- Principio del minimo privilegio: limitare i permessi degli utenti e ridurre il numero di account privilegiati.
- Segmentazione di rete: isolare i controller di dominio in subnet protette e limitarne l’accesso.
- Monitoraggio avanzato: utilizzare SIEM o strumenti di auditing per rilevare comportamenti sospetti (es. creazione improvvisa di account admin).
- Controlli periodici di sicurezza: test di penetrazione e valutazioni di configurazione Active Directory per identificare eventuali debolezze.
Conclusioni
La vulnerabilità CVE-2025-21293 è un campanello d’allarme per tutte le organizzazioni che utilizzano Active Directory come sistema di gestione delle identità. Anche se Microsoft valuta la probabilità di sfruttamento come bassa, l’impatto potenziale è devastante.
In un contesto in cui sempre più attacchi mirano alla compromissione delle infrastrutture di identità, ignorare o rimandare l’applicazione delle patch può esporre l’azienda a rischi enormi. La protezione dei controller di dominio non è solo una misura tecnica, ma una priorità strategica per garantire la sicurezza complessiva dell’organizzazione.
L'articolo Microsoft: bug critico in Active Directory Domain Services. Rischio escalation a SYSTEM proviene da il blog della sicurezza informatica.
Google contro la disinformazione: arriva C2PA su Pixel e Foto per riconoscere immagini AI
Google ha annunciato che integrerà la tecnologia C2PA Content Credentials nell’app fotocamera Pixel 10 e in Google Foto per aiutare gli utenti a distinguere le immagini autentiche da quelle create o modificate dall’intelligenza artificiale.
Google ha osservato che il problema dell’etichettatura dei contenuti sintetici è diventato molto più acuto negli ultimi anni, poiché gli approcci tradizionali sono praticamente inefficaci e lasciano spazio a diverse interpretazioni e distorsioni delle informazioni.
Sugli ultimi smartphone Pixel 10, ogni foto JPEG riceverà automaticamente le Credenziali di Contenuto, che contengono informazioni su come è stata creata la foto.
“Le credenziali di contenuto contengono un ricco set di informazioni su come sono stati creati i file multimediali (immagini, video o file audio), protetti dalla stessa tecnologia di firma digitale che ha garantito la sicurezza delle transazioni online e delle app mobili per decenni”, spiega Google. “Questo offre agli utenti la possibilità di identificare i contenuti creati (o modificati) dall’intelligenza artificiale, promuovendo una maggiore trasparenza e fiducia nell’intelligenza artificiale generativa”.
Quindi, se un utente modifica l’immagine originale con o senza intelligenza artificiale, Google Foto aggiungerà le nuove informazioni alle Credenziali dei contenuti, conservando una cronologia di tutte le modifiche.
L’azienda scrive che il sistema funziona in modo autonomo, è completamente protetto da interferenze esterne e non minaccia l’anonimato degli utenti, pur mantenendo la possibilità di verifica. Google descrive diversi livelli di sicurezza e integrità integrati nelle Credenziali dei contenuti, progettati per rendere il sistema più sicuro e protetto da accessi non autorizzati:
- una firma crittografica che invalida la firma digitale quando i metadati vengono modificati;
- Archiviazione delle chiavi a prova di manomissione: tutte le chiavi crittografiche vengono generate e archiviate nell’Android StrongBox all’interno di Titan M2;
- Android Key Attestation, che consente alle CA C2PA di Google di verificare l’autenticità sia dell’hardware sia dell’app che richiede i dati;
- Chiavi monouso per ogni immagine: ogni foto è firmata con una chiave crittografica univoca che non viene mai riutilizzata, il che dovrebbe preservare la privacy e l’anonimato degli utenti;
- timestamp affidabili, supportati da un orologio interno sicuro del dispositivo gestito da Tensor, che consente ai dispositivi Pixel di creare timestamp verificabili anche quando sono offline.
Per ora, il sistema Content Credentials sarà disponibile solo sui dispositivi Pixel 10, ma i rappresentanti di Google scrivono che intendono estenderlo ad altri dispositivi Android in futuro. Tuttavia, l’azienda non ha ancora indicato date o orari precisi.
L’azienda invita tutti gli stakeholder del settore ad andare oltre la semplificazione dell’etichettatura dei contenuti basata sull’intelligenza artificiale e ad adottare le credenziali di contenuto, sottolineando che la lotta alla disinformazione e ai deepfake richiede l’adozione su larga scala di tecnologie di verifica dei contenuti in tutto il settore.
L'articolo Google contro la disinformazione: arriva C2PA su Pixel e Foto per riconoscere immagini AI proviene da il blog della sicurezza informatica.
Allarme FlexiSPY: l’app spia facile da usare può intercettare tutto, anche El Chapo
Due documentaristi kenioti sono stati posti sotto sorveglianza dai servizi di sicurezza per il loro lavoro su un film sulle proteste giovanili. I ricercatori di informatica forense affermano che i loro telefoni sono stati infettati dallo spyware FlexiSPY mentre erano sotto custodia della polizia.
Brian Adagala e Nicholas Wambugu sono stati arrestati il 2 maggio con l’accusa di aver diffuso false informazioni, ma sono stati rilasciati il giorno successivo. Tuttavia, i loro dispositivi mobili sono rimasti in possesso delle autorità e sono stati restituiti solo il 10 luglio. Secondo l’avvocato Jan Mutiso, è stato durante questo periodo che il programma di sorveglianza è stato installato sui dispositivi.
L’analisi è stata condotta dagli specialisti di Citizen Lab, che hanno confermato l’infezione. Si sottolinea che FlexiSPY è disponibile sul mercato commerciale ed è più facile da rilevare rispetto ai costosi strumenti utilizzati dagli stati. Tuttavia, il programma è paragonabile in termini di capacità: può intercettare chiamate, tracciare la posizione, attivare un microfono per intercettazioni, copiare foto, e-mail e corrispondenza.
Gli sviluppatori di FlexiSPY lo pubblicizzano come uno strumento che consente a genitori e datori di lavoro di “sapere tutto” sulle attività del proprietario di un dispositivo. Tuttavia, lo stesso prodotto è già stato oggetto di importanti indagini. In particolare, è stato tramite FlexiSPY che il narcotrafficante messicano Joaquin Guzman, noto come El Chapo, ha spiato le sue fidanzate, e la corrispondenza tramite l’app ha successivamente aiutato l’FBI a costruire un caso contro di lui.
Adagala e Wambugu non sono mai stati accusati di alcun reato, ma avvocati e attivisti per i diritti umani considerano il loro arresto e la successiva interferenza con i loro dispositivi personali come una pressione sulla libertà di parola. Il loro film, “The People Shall”, racconta la lotta dei giovani kenioti per un cambiamento democratico, che chiaramente non è piaciuta alle autorità, in un contesto di crescente controllo sull’opposizione e sulle proteste.
L’ambasciata keniota ha rifiutato di commentare immediatamente le conclusioni degli esperti. Nel frattempo, gli stessi registi definiscono assurdo quanto sta accadendo: lo Stato, affermano, sta utilizzando strumenti che in precedenza erano usati dai boss criminali, solo che ora li sta usando contro giornalisti e registi.
L'articolo Allarme FlexiSPY: l’app spia facile da usare può intercettare tutto, anche El Chapo proviene da il blog della sicurezza informatica.
Al Campus Spinoza di Amsterdam, 1.200 studenti tenuti in ostaggio dalle lavatrici
📌 Link all'articolo : redhotcyber.com/post/al-campus…
#redhotcyber #hacking #cti #ai #online #it #cybercrime #cybersecurity #technology #news #cyberthreatintelligence #innovation #privacy
Al Campus Spinoza di Amsterdam, 1.200 studenti tenuti in ostaggio dalle lavatrici
Un aggressore ha hackerato il sistema di pagamento di 5 lavatrici al Campus Spinoza di Amsterdam, offrendo lavatrici gratuite per settimane.Redazione RHC (Red Hot Cyber)
reshared this
informapirata ⁂
in reply to informapirata ⁂ • • •Il documento di 418 pagine ha richiesto 18 mesi di lavoro ed è stato presentato dalle co-presidenti Anne Burke e Karen Goodnough, entrambe professoresse presso la Facoltà di Scienze della Formazione della Memorial University, insieme al Ministro dell'Istruzione Bernard Davis.
Il file con il documento non è più disponibile
⬇️⬇️⬇️⬇️⬇️
educationaccordnl.ca/wp-conten…
@aitech
0ut1°°k
in reply to informapirata ⁂ • • •nella foto gli autori ddell'articolo 🤡
@aitech
Al Kath reshared this.
Al Kath
in reply to 0ut1°°k • • •@outlook 🤣🤣🤣
@informapirata @aitech
B Kahn
in reply to informapirata ⁂ • • •Informa Pirata likes this.
Informa Pirata reshared this.
Informa Pirata
in reply to B Kahn • •@informapirata ⁂
like this
B Kahn, Miro Collas e prealpinux like this.
reshared this
B Kahn e Miro Collas reshared this.
B Kahn
in reply to Informa Pirata • • •The speed at which the internet is turning to garbage astounds me. As a source of info it was once amazing. Now it's like dumpster diving for food but even worse. All that's in the dumpsters are rats and rat poison. God help the kids who are 'searching' online for info. It's no wonder they turn to ChatGPT, which packages the garbage for them so they don't realize right away what they're getting. Yeech.
Informa Pirata likes this.
Informa Pirata reshared this.