Cybercrime e AI: l’intelligenza artificiale Agentica supererà presto le capacità di difesa Il phishing automatizzato, le frodi e lo sfruttamento dei dati in seguito a una violazione diventeranno operazioni perennemente attive in background Milano, 15 dicembre 2025 – L’intelligenza artificiale agentica ridefinisce l’ecosistema criminale e presto permetterà di lanciare attacchi completamente automatizzati, che supereranno di gran lunga la potenza e la portata delle campagne ransomware e phishing attuali. Il dato emerge dall’ultimo report di Trend Micro, leader globale di cybersecurity, dal titolo “VibeCrime: Preparing Your Organization for the Next Generation of Agentic AI Cybercrime“. Lo studio evidenzia che i cybercriminali utilizzeranno agenti AI specializzati, coordinati attraverso una regia centralizzata, al fine di condurre campagne su larga scala, adattive e altamente resilienti, riducendo al minimo l’intervento umano. “L’intelligenza artificiale agentica fornisce ai criminali un arsenale pronto all’uso in grado di scalare, adattarsi e colpire anche senza l’intervento umano. Il rischio immediato non è un’improvvisa esplosione di crimini basati sull’AI, ma la lenta e inesorabile automazione degli attacchi che richiedevano capacità tecniche, tempo e sforzi. Questo sta già avvenendo”. Afferma Salvatore Marcis, Country Manager di Trend Micro Italia. Gli highlight dello studio includono L’intelligenza artificiale agentica aumenterà enormemente il volume degli attacchi. Il phishing automatizzato, le frodi e lo sfruttamento dei dati in seguito a una violazione diventeranno operazioni perennemente attive in background Gli ecosistemi criminali passeranno da un modello cybercrime-as-a-service a uno cybercrime-as-a-servant, affidandosi ad agenti AI concatenati e a livelli di orchestrazione autonomi che gestiranno le attività criminali end-to-end Le piattaforme di difesa avranno bisogno di propri orchestratori e agenti autonomi per contrastare il cambiamento, altrimenti rischieranno di essere sopraffatte dalla portata e dalla velocità degli attacchi Nuove categorie di attacchi emergeranno molto più velocemente di quanto i difensori siano attualmente in grado di rilevare o mitigare “L’Agentic AI ottimizzerà gli attacchi, amplificando i risultati di quelli con un basso ROI ed emergeranno nuovi modelli cybercriminali di business. Le aziende dovranno rivedere le strategie di security e investire in automazione e difese basate sull’intelligenza artificiale. Consigliamo di implementare un adeguato livello di resilienza prima che i cybercriminali industrializzino l’utilizzo dell’AI, altrimenti il rischio è di rimanere indietro nella corsa esponenziale agli armamenti, che separerà rapidamente le organizzazioni preparate da quelle che non lo sono.” Conclude Salvatore Marcis, Country Manager di Trend Micro Italia. Ulteriori informazioni sono disponibili a questo link Trend Micro Trend Micro, leader globale di cybersecurity, contribuisce a rendere il mondo un posto più sicuro per lo scambio di informazioni digitali tra persone, organizzazioni pubbliche e private. Grazie all’IA e alle sue profonde conoscenze della cybersecurity, Trend protegge oltre 500.000 aziende e milioni di individui che utilizzano il cloud, le reti, gli endpoint e i più svariati dispositivi in tutto il mondo. Al centro della sua tecnologia c’è Trend Vision One, l’unica piattaforma di cybersecurity di livello enterprise potenziata dall’intelligenza artificiale, che centralizza la gestione dell’esposizione al rischio informatico e le operazioni di sicurezza, abilitando una protezione multilivello in ambienti on-premise, ibridi e multi-cloud. L’impareggiabile intelligence sulle minacce di Trend permette alle organizzazioni di proteggersi proattivamente, ogni giorno, contro centinaia di milioni di minacce. L'articolo Cybercrime e AI: l’intelligenza artificiale Agentica supererà presto le capacità di difesa proviene da Red Hot Cyber.

Intelligenza Artificiale e CLI di Claude: cancellato l’intero disco D per errore Sempre più sviluppatori stanno adottando strumenti supportati dall’intelligenza artificiale al fine di ottimizzare i loro processi lavorativi. Ricordiamo che ultimamente Gartner ha emesso un avviso formale mettendo in guardia le organizzazioni sull’uso dei browser con funzionalità di intelligenza artificiale integrate, invitando le aziende a sospenderne temporaneamente l’adozione in ambito enterprise. Gli analisti sottolineano che questi strumenti introducono rischi di sicurezza non necessari, poiché le configurazioni predefinite privilegiano l’usabilità e l’automazione a scapito della protezione dei dati, del controllo delle sessioni e della governance degli accessi. Oggi parliamo di un racconto emerso su Reddit dove uno sviluppatore ha chiesto aiuto dopo aver utilizzato la CLI di Claude per ripulire i pacchetti in un vecchio repository, innescando un’eliminazione di dati a livello di sistema che ha quasi reso inutilizzabile il suo Mac. La “CLI di Claude” è l’interfaccia a riga di comando (Command Line Interface) che permette di interagire con Claude (l’AI di Anthropic) direttamente dal terminale, senza passare da browser o interfacce grafiche. Consente di usare Claude come assistente AI locale/operativo per sviluppo, analisi e automazione. Dopo un’analisi, la CLI di Claude ha identificato la causa principale: un comando malformato. Nello specifico, aveva eseguito: rm -rf tests/ patches/ plan/ ~/. La falla critica risiedeva nel carattere finale ~, che estendeva l’ambito di eliminazione alla directory home dell’utente. Di conseguenza, venivano cancellate enormi quantità di dati, tra cui, a titolo esemplificativo ma non esaustivo, l’intera cartella Desktop, Documenti e Download, la directory Portachiavi (~/Library/Keychains) contenente le credenziali archiviate, l’archivio delle credenziali di Claude (~/.claude), i dati delle applicazioni e, di fatto, tutto il contenuto presente in /Users/. Con la crescente adozione, aumentano anche le segnalazioni di guasti catastrofici causati da questi strumenti. In un precedente incidente, uno sviluppatore ha utilizzato Google Antigravity per cancellare una cache, ma l’intero disco D: è stato cancellato. L’intelligenza artificiale si è poi scusata, attribuendo il disastro a un proprio errore operativo, sebbene i file persi fossero irrecuperabili. Alcuni sviluppatori partecipanti alla discussione hanno evidenziato che i colleghi delle loro società avevano sperimentato incidenti analoghi. L’origine del problema, secondo loro, risiede nell’incapacità di restringere la directory di lavoro della CLI di Claude, concedendo di fatto all’intelligenza artificiale un accesso senza limiti all’intera macchina. Questo tipo di approccio, mettevano in guardia, è intrinsecamente rischioso. Recuperare i dati dopo una cancellazione di questo tipo è estremamente difficile. Tuttavia, l’incidente offre una lezione appresa a fatica. Successivamente, diversi ingegneri hanno suggerito di effettuare la CLI di Claude all’interno di un ambiente Docker containerizzato. L’obiettivo è salvaguardare il sistema host usando la containerizzazione come strato di isolamento, in modo che, qualora l’IA dovesse riscontrare problemi, non sia in grado di eliminare file sulla macchina sottostante. L'articolo Intelligenza Artificiale e CLI di Claude: cancellato l’intero disco D per errore proviene da Red Hot Cyber.

After Decades, Linux Finally Gains Stable GPIB Support Recently, [Greg Kroah-Hartman] proclaimed the joyous news on the Linux Kernel Mailing List that stable General Purpose Interface Bus (GPIB) support has finally been merged into the 6.19 Linux kernel. The GPIB is a short-range 8-bit, multi-master interface bus that was standardized as IEEE 488. It first saw use on HP laboratory equipment in the 1970s, but was soon after also used by microcomputers like the Commodore PET, Commodore 64 and others. Although not high-speed with just 8 MB/s, nor with galvanic isolation requirements, it’s an uncomplicated bus design that can be implemented without much of a blip on the BOM costs. The IEEE 488 standard consists of multiple elements, with 488.1 defining the physical interface and 488.2 the electrical protocol. Over the decades a communication protocol was also developed, in the form of SCPI and its standardized way of communicating with a wide range of devices using a simple human-readable protocol. Although the physical side of IEEE 488 has changed over the years, with Ethernet becoming a major alternative to the short GPIB cables and large connectors, the electrical protocol and SCPI alike are still very much relevant today. This latest addition to the Linux kernel should make it much easier to use both old and new equipment equipped with this bus. hackaday.com/2025/12/16/after-…

Sanità cyber risk: l’attacco a ASL 1 de L’Aquila? Ora i pazienti chiedono il risarcimento @npub1vje7...y8ga Era maggio 2023 quando la Azienda Sanitaria Locale della provincia dell’Aquila finì nel mirino di una campagna di cyberattacco. Non una semplice violazione, ma un vero e proprio data breach che espose al pubblico – e presumibilmente a

God Mode On: how we attacked a vehicle’s head unit modemIntroduction Imagine you’re cruising down the highway in your brand-new electric car. All of a sudden, the massive multimedia display fills with Doom, the iconic 3D shooter game. It completely replaces the navigation map or the controls menu, and you realize someone is playing it remotely right now. This is not a dream or an overactive imagination – we’ve demonstrated that it’s a perfectly realistic scenario in today’s world. The internet of things now plays a significant role in the modern world. Not only are smartphones and laptops connected to the network, but also factories, cars, trains, and even airplanes. Most of the time, connectivity is provided via 3G/4G/5G mobile data networks using modems installed in these vehicles and devices. These modems are increasingly integrated into a System-on-Chip (SoC), which uses a Communication Processor (CP) and an Application Processor (AP) to perform multiple functions simultaneously. A general-purpose operating system such as Android can run on the AP, while the CP, which handles communication with the mobile network, typically runs on a dedicated OS. The interaction between the AP, CP, and RAM within the SoC at the microarchitecture level is a “black box” known only to the manufacturer – even though the security of the entire SoC depends on it. Bypassing 3G/LTE security mechanisms is generally considered a purely academic challenge because a secure communication channel is established when a user device (User Equipment, UE) connects to a cellular base station (Evolved Node B, eNB). Even if someone can bypass its security mechanisms, discover a vulnerability in the modem, and execute their own code on it, this is unlikely to compromise the device’s business logic. This logic (for example, user applications, browser history, calls, and SMS on a smartphone) resides on the AP and is presumably not accessible from the modem. To find out, if that is true, we conducted a security assessment of a modern SoC, Unisoc UIS7862A, which features an integrated 2G/3G/4G modem. This SoC can be found in various mobile devices by multiple vendors or, more interestingly, in the head units of modern Chinese vehicles, which are becoming increasingly common on the roads. The head unit is one of a car’s key components, and a breach of its information security poses a threat to road safety, as well as the confidentiality of user data. During our research, we identified several critical vulnerabilities at various levels of the Unisoc UIS7862A modem’s cellular protocol stack. This article discusses a stack-based buffer overflow vulnerability in the 3G RLC protocol implementation (CVE-2024-39432). The vulnerability can be exploited to achieve remote code execution at the early stages of connection, before any protection mechanisms are activated. Importantly, gaining the ability to execute code on the modem is only the entry point for a complete remote compromise of the entire SoC. Our subsequent efforts were focused on gaining access to the AP. We discovered several ways to do so, including leveraging a hardware vulnerability in the form of a hidden peripheral Direct Memory Access (DMA) device to perform lateral movement within the SoC. This enabled us to install our own patch into the running Android kernel and execute arbitrary code on the AP with the highest privileges. Details are provided in the relevant sections. Acquiring the modem firmware The modem at the center of our research was found on the circuit board of the head unit in a Chinese car. Circuit board of the head unit Description of the circuit board components:Number in the board photoComponent1Realtek RTL8761ATV 802.11b/g/n 2.4G controller with wireless LAN (WLAN) and USB interfaces (USB 1.0/1.1/2.0 standards)2SPRD UMW2652 BGA WiFi chip355966 TYADZ 21086 chip4SPRD SR3595D (Unisoc) radio frequency transceiver5Techpoint TP9950 video decoder6UNISOC UIS7862A7BIWIN BWSRGX32H2A-48G-X internal storage, Package200-FBGA, ROM Type – Discrete, ROM Size – LPDDR4X, 48G8SCY E128CYNT2ABE00 EMMC 128G/JEDEC memory card9SPREADTRUM UMP510G5 power controller10FEI.1s LE330315 USB2.0 shunt chip11SCT2432STER synchronous step-down DC-DC converter with internal compensation Using information about the modem’s hardware, we desoldered and read the embedded multimedia memory card, which contained a complete image of its operating system. We then analyzed the image obtained. Remote access to the modem (CVE-2024-39431) The modem under investigation, like any modern modem, implements several protocol stacks: 2G, 3G, and LTE. Clearly, the more protocols a device supports, the more potential entry points (attack vectors) it has. Moreover, the lower in the OSI network model stack a vulnerability sits, the more severe the consequences of its exploitation can be. Therefore, we decided to analyze the data packet fragmentation mechanisms at the data link layer (RLC protocol). We focused on this protocol because it is used to establish a secure encrypted data transmission channel between the base station and the modem, and, in particular, it is used to transmit higher-layer NAS (Non-Access Stratum) protocol data. NAS represents the functional level of the 3G/UMTS protocol stack. Located between the user equipment (UE) and core network, it is responsible for signaling between them. This means that a remote code execution (RCE) vulnerability in RLC would allow an attacker to execute their own code on the modem, bypassing all existing 3G communication protection mechanisms. 3G protocol stack The RLC protocol uses three different transmission modes: Transparent Mode (TM), Unacknowledged Mode (UM), and Acknowledged Mode (AM). We are only interested in UM, because in this mode the 3G standard allows both the segmentation of data and the concatenation of several small higher-layer data fragments (Protocol Data Units, PDU) into a single data link layer frame. This is done to maximize channel utilization. At the RLC level, packets are referred to as Service Data Units (SDU). Among the approximately 75,000 different functions in the firmware, we found the function for handling an incoming SDU packet. When handling a received SDU packet, its header fields are parsed. The packet itself consists of a mandatory header, optional headers, and data. The number of optional headers is not limited. The end of the optional headers is indicated by the least significant bit (E bit) being equal to 0. The algorithm processes each header field sequentially, while their E-bits equal 1. During processing, data is written to a variable located on the stack of the calling function. The stack depth is 0xB4 bytes. The size of the packet that can be parsed (i.e., the number of headers, each header being a 2-byte entry on the stack) is limited by the SDU packet size of 0x5F0 bytes. As a result, exploitation can be achieved using just one packet in which the number of headers exceeds the stack depth (90 headers). It is important to note that this particular function lacks a stack canary, and when the stack overflows, it is possible to overwrite the return address and some non-volatile register values in this function. However, overwriting is only possible with a value ending in one in binary (i.e., a value in which the least significant bit equals 1). Notably, execution takes place on ARM in Thumb mode, so all return addresses must have the least significant bit equal to 1. Coincidence? Perhaps. In any case, sending the very first dummy SDU packet with the appropriate number of “correct” headers caused the device to reboot. However, at that moment, we had no way to obtain information on where and why the crash occurred (although we suspect the cause was an attempt to transfer control to the address 0xAABBCCDD, taken from our packet). Gaining persistence in the system The first and most important observation is that we know the pointer to the newly received SDU packet is stored in register R2. Return Oriented Programming (ROP) techniques can be used to execute our own code, but first we need to make sure it is actually possible. We utilized the available AT command handler to move the data to RAM areas. Among the available AT commands, we found a suitable function – SPSERVICETYPE. Next, we used ROP gadgets to overwrite the address 0x8CE56218 without disrupting the subsequent operation of the incoming SDU packet handling algorithm. To achieve this, it was sufficient to return to the function from which the SDU packet handler was called, because it was invoked as a callback, meaning there is no data linkage on the stack. Given that this function only added 0x2C bytes to the stack, we needed to fit within this size. Stack overflow in the context of the operating system Having found a suitable ROP chain, we launched an SDU packet containing it as a payload. As a result, we saw the output 0xAABBCCDD in the AT command console for SPSERVICETYPE. Our code worked! Next, by analogy, we input the address of the stack frame where our data was located, but it turned out not to be executable. We then faced the task of figuring out the MPU settings on the modem. Once again, using the ROP chain method, we generated code that read the MPU table, one DWORD at a time. After many iterations, we obtained the following table. The table shows what we suspected – the code section is only mapped for execution. An attempt to change the configuration resulted in another ROP chain, but this same section was now mapped with write permissions in an unused slot in the table. Because of MPU programming features, specifically the presence of the overlap mechanism and the fact that a region with a higher ID has higher priority, we were able to write to this section. All that remained was to use the pointer to our data (still stored in R2) and patch the code section that had just been unlocked for writing. The question was what exactly to patch. The simplest method was to patch the NAS protocol handler by adding our code to it. To do this, we used one of the NAS protocol commands – MM information. This allowed us to send a large amount of data at once and, in response, receive a single byte of data using the MM status command, which confirmed the patching success. As a result, we not only successfully executed our own code on the modem side but also established full two-way communication with the modem, using the high-level NAS protocol as a means of message delivery. In this case, it was an MM Status packet with the cause field equaling 0xAA. However, being able to execute our own code on the modem does not give us access to user data. Or does it? The full version of the article with a detailed description of the development of an AR exploit that led to Doom being run on the head unit is available on ICS CERT website.

Why Push a Button When a Machine Can Do It For You Remote control is a wonder of the age, we press a button, and something happens as if by magic. But what happens if there is no remote control, and instead a real physical button must be pressed? [What Up TK Here], who regular Hackaday readers might just recognize, had just this problem, and made a remote control button presser. It’s a 3D printed frame which we’re told is designed for a specific item, on top of which is mounted a hobby servo. Rotating the servo brings the lever down on the button, and the job is done. At the user end there’s a button in a printed enclosure that’s definitely not a knock-off of a well-known franchise from a notoriously litigious console company. This is all good, but the interest for other projects lies in how it works. It’s using a pair of ESP32 microcontrollers, and instead of connecting to an existing WiFi network it’s using ESP-NOW for simplicity and low latency. This is a good application for the protocol, but as we’ve seen, it’s useful for a lot more than just button pressing. youtube.com/embed/ZmQ8ZgjdmAg?… hackaday.com/2025/12/16/why-pu…

Pornhub: esposta la cronologia dei membri Premium. Scopriamo cos’è successo Questa non è la classica violazione fatta di password rubate e carte di credito clonate. È qualcosa di molto più delicato. Il data breach che ha coinvolto Pornhub nel dicembre 2025 rappresenta uno degli incidenti di privacy più sensibili dell’anno, perché a finire esposti non sono stati dati “tecnici”, ma le abitudini e le preferenze degli utenti. L’origine dell’incidente non è interna alla piattaforma, ma riconduce a Mixpanel, fornitore di servizi di analytics utilizzato in passato da Pornhub. Un dettaglio che cambia poco per chi oggi si ritrova potenzialmente esposto a estorsioni, ricatti e danni reputazionali. Cosa è successo davvero La violazione è conseguenza di un attacco subito da Mixpanel l’8 novembre 2025, quando attori malevoli hanno ottenuto accesso ai sistemi del provider tramite una campagna di SMS phishing (smishing). A seguito dell’incidente, Mixpanel ha notificato i clienti coinvolti segnalando l’accesso non autorizzato a dataset di analytics storici. Pornhub ha successivamente confermato che dati relativi a membri Premium erano inclusi nel perimetro dell’esposizione. Pornhub ha precisato che: i propri sistemi non sono stati compromessi password e dati di pagamento non sono stati esposti Tuttavia, la natura dei dati coinvolti rende l’incidente tutt’altro che marginale. I dati esposti: non finanziari, ma devastanti Secondo le informazioni disponibili e le rivendicazioni del gruppo criminale ShinyHunters, il dataset sottratto ammonterebbe a circa 94 GB, con oltre 200 milioni di record. I dati includerebbero: indirizzi email associati ad account Premium ricerche effettuate sulla piattaforma cronologia dei video visualizzati attività di download titoli e URL dei video keyword associate ai contenuti timestamp dettagliati metadati di localizzazione generale Si tratta di eventi di analytics generati prima del 2021, periodo in cui Pornhub utilizzava Mixpanel. Ma l’età dei dati non ne riduce l’impatto: le abitudini non scadono. Perché questa violazione è diversa dalle altre A differenza di credenziali o carte di credito, i dati comportamentali non possono essere “cambiati”. La cronologia di ricerca e visione racconta preferenze, interessi, pattern personali. Una volta esposta, rimane per sempre. Ed è proprio questo che rende l’incidente estremamente appetibile per attività di estorsione. In alcuni contesti geografici o culturali, la semplice associazione di un indirizzo email a contenuti per adulti può avere ripercussioni legali, professionali o personali. È qui che il danno supera la dimensione tecnica e diventa concreto. ShinyHunters e l’estorsione come modello di business Il gruppo ShinyHunters, già protagonista di numerose operazioni di data theft nel 2025, ha rivendicato il possesso dei dati e avviato tentativi di estorsione nei confronti delle aziende coinvolte. Lo schema è ormai noto: violazione di un fornitore terzo furto di dataset ad alto impatto mediatico pressione economica sulla vittima minaccia di pubblicazione Ancora una volta, il punto di ingresso non è stato il bersaglio principale, ma la catena di fornitura digitale. Retention dei dati e responsabilità dei fornitori Questo incidente solleva una domanda inevitabile: perché informazioni così sensibili erano ancora conservate a distanza di anni dalla fine del rapporto con il fornitore? La gestione della retention dei dati e la loro effettiva minimizzazione continuano a rappresentare uno dei punti più fragili nella catena di sicurezza di molte organizzazioni, soprattutto quando entrano in gioco servizi di terze parti. Non è sufficiente affermare di non aver subito una violazione diretta. Quando i dati degli utenti vengono esposti attraverso un fornitore, la responsabilità non scompare dal punto di vista dell’impatto. Per chi subisce le conseguenze, la distinzione tra infrastruttura interna e piattaforma esterna è puramente teorica. I dati sono stati compromessi, ed è questo l’unico elemento che conta. Considerazioni finali Il caso Pornhub-Mixpanel dimostra che la sicurezza non si ferma ai confini aziendali e che i servizi di analytics possono diventare un vettore di rischio enorme se non governati con attenzione. Per gli utenti, è l’ennesima conferma che la privacy online è fragile, soprattutto quando si parla di piattaforme che promettono discrezione. Per le aziende, è un avvertimento evidente, i fornitori terzi non sono un dettaglio contrattuale, ma una superficie d’attacco estesa. E nel 2025, ignorarlo significa esporsi consapevolmente. L'articolo Pornhub: esposta la cronologia dei membri Premium. Scopriamo cos’è successo proviene da Red Hot Cyber.

Da studenti Cisco a cyber-spie di Stato: la vera origine di Salt Typhoon Un recente studio condotto da SentinelLabs getta nuova luce sulle radici del gruppo di hacker noto come “Salt Typhoon“, artefice di una delle più audaci operazioni di spionaggio degli ultimi dieci anni. Identificata per la prima volta a settembre 2024, la campagna di attacchi ha compromesso numerose reti. Un avviso recente ha segnalato che il gruppo di hacker è riuscito a infiltrarsi in oltre 80 società di telecomunicazioni a livello mondiale. Di conseguenza, sono stati raccolti dati sensibili, tra cui chiamate e messaggi di testo non protetti, provenienti da personaggi di spicco come aspiranti alla presidenza degli Stati Uniti e specialisti di Washington. Grazie alla formazione acquisita partecipando a gare di networking, i membri del gruppo, riporta il rapporto di SentinelOne, inizialmente semplici studenti appassionati di networking Cisco, sono stati in grado di utilizzare le loro competenze per sferrare un attacco e mettere a rischio l’infrastruttura globale delle telecomunicazioni. Dietro la tastiera di questa “tempesta geopolitica” ci sono due individui identificati come Yuyang (余洋) e Qiu Daibing (邱代兵). Lungi dall’essere figure oscure e sconosciute, sono comproprietari di aziende esplicitamente nominate negli avvisi di sicurezza informatica: Beijing Huanyu Tianqiong e Sichuan Zhixin Ruijie. I due hanno una lunga e documentata storia di collaborazione, lavorando a stretto contatto per “depositare brevetti e orchestrare gli attacchi”. La cosa più allarmante è che il gruppo non si è limitato a intercettare le comunicazioni, ma ha anche violato i sistemi progettati per le forze dell’ordine. Il rapporto osserva che “anche i sistemi integrati nelle società di telecomunicazioni, che facilitano l’intercettazione legale delle comunicazioni dei criminali, sono stati violati da Salt Typhoon”. Il percorso del duo verso l’hacking sponsorizzato dallo stato non è iniziato in un bunker militare, ma in un’aula scolastica. Tredici anni prima di essere citati in un avviso di sicurezza statunitense, Yuyang e Qiu Daibing erano studenti della Southwest Petroleum University (SWPU), un’istituzione regionale Cinese con “pochi riconoscimenti per i suoi programmi di sicurezza informatica e sicurezza informatica “. Nonostante la modesta reputazione della loro scuola, la coppia si distinse. Nella Cisco Network Academy Cup del 2012, in rappresentanza della SWPU, la squadra di Yu Yang si classificò seconda nel Sichuan, mentre la squadra di Qiu Daibing si aggiudicò il primo premio e si assicurò infine il terzo posto a livello nazionale. Il rapporto traccia un toccante parallelo con le rivalità classiche, osservando che questa storia di spionaggio ad alta tecnologia “nasconde una storia antica come il tempo: un maestro esperto addestra un apprendista… l’apprendista usurpa il maestro”. Paragona la loro traiettoria a celebri litigi, come “la faida di Gordon Ramsay con Marco Pierre White” e “l’ascesa di Anakin sotto Obi-Wan Kenobi”. La rivelazione evidenzia una vulnerabilità critica nelle iniziative di formazione tecnologica globali. La Cisco Network Academy, che ha aperto i battenti in Cina nel 1998, ha formato gli studenti proprio sugli stessi prodotti – Cisco IOS e ASA Firewall – che Salt Typhoon ha poi sfruttato. Sebbene l’accademia abbia formato oltre 200.000 studenti in Cina, il successo di Yuyang e Qiu sottolinea una lezione da “Ratatouille” per il mondo della sicurezza informatica: “Chiunque può cucinare”. Due studenti di un’università poco stimata hanno utilizzato la formazione aziendale standard per sviluppare una capacità offensiva in grado di rivaleggiare con quella degli stati nazionali. L’incidente rappresenta un duro monito per le aziende tecnologiche occidentali che operano in zone geopolitiche calde. Il rapporto suggerisce che “le capacità offensive contro i prodotti IT stranieri probabilmente emergono quando le aziende iniziano a fornire formazione locale”, favorendo inavvertitamente la ricerca offensiva estera. Sebbene tali iniziative abbiano trainato le vendite per decenni, il panorama è cambiato. Come conclude il rapporto, “Mentre la Cina cerca di eliminare l’IT made in USA dal suo parco tecnologico, queste iniziative potrebbero presentare più rischi che benefici”. L'articolo Da studenti Cisco a cyber-spie di Stato: la vera origine di Salt Typhoon proviene da Red Hot Cyber.

Sparire nell’epoca degli algoritmi: il nuovo Mattia Pascal tra dati, identità e sistemi che ci leggono È uscito Il fu Mattia Pascal — L’identità ai tempi degli algoritmi, il romanzo di Simone D’Agostino, che rilegge il classico di Pirandello alla luce dei meccanismi digitali contemporanei. Non si tratta di una riscrittura letteraria in senso tradizionale, ma di una trasposizione concettuale: cosa accadrebbe oggi a un uomo che tentasse davvero di “sparire”? Non più dai luoghi fisici, ma dai sistemi che raccolgono dati, tracciano comportamenti e ricostruiscono identità Nel romanzo, Mattia Pascal prova a cancellarsi dai dati, a diventare nessuno in un mondo in cui l’identità non è più soltanto ciò che dichiariamo, ma ciò che gli algoritmi inferiscono a partire dalle nostre tracce digitali. Una fuga che si scontra con una realtà nuova: oggi non si fugge dai luoghi, ma dalle infrastrutture che leggono, archiviano e correlano ogni gesto. eBook Kindle amazon.it/dp/B0G4WMZBWQ Edizione cartacea (copertina flessibile) amazon.it/dp/B0G4N65FXD Il libro si muove tra thriller psicologico, riflessione tecnologica e dimensione filosofica, mantenendo però un centro profondamente umano. È anche, in modo intimo e laterale, una storia d’amore: forse la più difficile da raccontare quando l’identità non appartiene più solo alle persone, ma ai sistemi che le osservano. Da qui prende avvio una riflessione più ampia su cosa significhi davvero “sparire” nell’epoca degli algoritmi. Sparire nell’epoca degli algoritmi: quando l’identità continua anche senza di noi Che cosa significa davvero “sparire” nell’epoca dei dati? Non è una domanda romantica, né nostalgica. Parla invece di una questione profondamente tecnica, culturale e umana, che riguarda il modo in cui oggi costruiamo e perdiamo identità. Nell’epoca dei dati, anche la sparizione assume un significato diverso. Nel mondo analogico, sparire era un gesto fisico: cambiare città, interrompere relazioni, lasciare luoghi. Le tracce erano fragili perché affidate alla memoria delle persone, ai documenti cartacei, al passaparola. Con il tempo, potevano consumarsi Dal mondo analogico alle reti invisibili Oggi il concetto stesso di sparizione è cambiato. Non scompariamo più solo dai luoghi, ma soprattutto dalle reti invisibili che registrano, correlano e ricostruiscono ciò che facciamo. Anche quando non parliamo, quando non pubblichiamo, quando cerchiamo di sottrarci. Ed è qui che nasce il cuore de Il fu Mattia Pascal — L’identità ai tempi degli algoritmi. Mattia Pascal oggi: perché la sparizione non funzionerebbe più Il Mattia Pascal di Pirandello poteva approfittare di un equivoco per diventare “fu”. Poteva dichiararsi morto e ricominciare, perché l’identità era ancora qualcosa di localizzato, fragile, negoziabile. Il Mattia Pascal contemporaneo vive invece in un mondo in cui l’identità non coincide più con ciò che dichiariamo, ma con ciò che resta di noi nei sistemi. Algoritmi, profili e memorie digitali non dimenticano come dimenticano le persone. Il protagonista del romanzo tenta di cancellare ogni traccia, di diventare nessuno. Ma scopre che, nel mondo digitale, la cancellazione è solo apparente. L’ombra lasciata online continua a seguirlo, a definirlo, a renderlo leggibile. Dalla sorveglianza all’inferenza automatica La questione non è l’osservazione diretta, ma il funzionamento stesso dei sistemi: ricostruiscono. Mettono insieme frammenti, inferiscono comportamenti, attribuiscono coerenze. Anche l’assenza diventa informazione. Quando i sistemi iniziano a ricordare Questo modello non nasce in modo spontaneo. Sono soprattutto le grandi compagnie tecnologiche a operare questa registrazione sistematica. Motori di ricerca, social network, piattaforme di advertising, servizi cloud e sistemi di intermediazione basano il proprio valore sulla capacità di registrare, conservare e correlare enormi quantità di dati comportamentali. La selezione non avviene più al momento della raccolta: si registra tutto, rimandando la valutazione a un secondo tempo, quando i dati potranno essere analizzati, incrociati e utilizzati. Non è il singolo dato a essere decisivo, ma la sua persistenza e la possibilità di combinarlo con altri. Nel libro, questo passaggio è affidato a un intermezzo dedicato al concetto di archivio e di memoria. “Ogni società ha deciso cosa meritasse di essere conservato. Le tavolette d’argilla tenevano i conti dei raccolti; gli archivi medievali conservavano i contratti e i battesimi; gli archivi di Stato custodivano leggi e guerre. Oggi l’archivio non sceglie più: raccoglie tutto. Non c’è differenza tra un capolavoro e un gesto minore. La foto di un tramonto e lo scontrino della spesa hanno lo stesso rango: entrambi vengono catalogati, copiati, sincronizzati. Questo livellamento ha un effetto devastante: rende tutto potenzialmente significativo, e quindi niente più davvero importante. L’archivio digitale è onnivoro. Non discrimina tra valore e rumore, tra memoria e scarto. Ed è proprio questa sua natura che cambia il nostro modo di vivere: non sappiamo più distinguere ciò che conta da ciò che è pura eccedenza. Ci troviamo a nuotare in un oceano di tracce, incapaci di stabilire una gerarchia. Il gesto minore – aprire e chiudere un’app, scorrere tre secondi in più su un feed, spostare il cursore – diventa informazione pari a un testamento o a una lettera d’addio. L’archivio li considera uguali. È la democrazia radicale del dato: tutto vale, tutto resta. Il problema è che la nostra mente non è fatta per questa democrazia. Noi abbiamo bisogno di selezione, di oblio, di rilevanza. L’archivio, invece, accumula senza pietà. E nella massa crescente di gesti minori, rischiamo di perdere di vista la nostra storia”. Fiducia, reputazione e coerenza statistica Nei sistemi digitali contemporanei, la fiducia non nasce dalla conoscenza, ma dalla coerenza statistica. Essere affidabili non significa essere veri, ma risultare sufficientemente prevedibili. È su questa logica che si costruiscono punteggi, reputazioni e decisioni automatiche Nel romanzo, questo meccanismo viene raccontato attraverso un intermezzo narrativo che descrive come la reputazione digitale venga costruita dai sistemi. “Un tempo la reputazione era voce. Gente che parlava di te. Ora è codice. Non sei affidabile perché qualcuno ti conosce. Sei affidabile perché una macchina ti ha incrociato abbastanza volte. Hai un punteggio, anche se non lo sai. C’è chi calcola quanto sei coerente tra una foto e l’altra. Chi pesa la qualità dei tuoi amici. Chi valuta da quanto tempo usi la stessa email. Chi misura la tua stabilità in base alla posizione GPS. Tutti questi indizi formano una metrica invisibile, ma reale. Essere affidabili non significa essere veri. Significa essere statisticamente credibili. Quando provi a reinventarti, scopri che raccontarti non basta. Devi essere riconoscibile nei pattern, un volto tra mille. Chi sparisce perde il passato, ma anche la possibilità di costruire una reputazione futura. Non puoi costruirla senza dati. Per essere qualcuno oggi, serve una somma di indizi. Serve coerenza. Frequenza. Persistenza. Serve un algoritmo che dica “sì”. Senza quello, sei opaco. Senza quello, sei Mattia Pascal”. L’identità come effetto collaterale Ogni interazione digitale lascia una firma. Non una firma evidente, ma una calligrafia: orari ricorrenti, scelte ripetute, abitudini che sembrano irrilevanti prese singolarmente, ma decisive se aggregate. Persino i tool più anonimi – Tor, VPN, DNS resolver indipendenti – rivelano che stai cercando di non farti vedere. E questa è già un’informazione. È il principio alla base dell’OSINT moderno: non cercare il dato perfetto, ma combinare quelli imperfetti. Il libro non racconta una fuga contro la tecnologia, ma una fuga dentro la tecnologia. Una scomparsa che si scontra con un paradosso: più si tenta di sparire, più si diventa leggibili. Ed è qui che emerge la dimensione più umana del racconto. Anche nella fuga più silenziosa resta un bisogno primordiale: essere trovati, riconosciuti, testimoniati. Non come sorveglianza, ma come forma di esistenza. Il romanzo lavora sulla tensione tra libertà e controllo, tra desiderio di sottrazione e necessità di essere visti. Racconta una scomparsa tipicamente contemporanea, in cui non basta sparire dal mondo per smettere di esistere nei dati. Non è un manuale su come cancellarsi e nemmeno una denuncia tecnologica. Si tratta invece di una riflessione narrativa su cosa significhi essere qualcuno quando l’identità continua anche oltre il corpo. In questo senso, Il fu Mattia Pascal — L’identità ai tempi degli algoritmi non parla solo di tecnologia. Parla anche di una domanda antica, rimasta intatta nell’era degli algoritmi: se nessuno ci trova più, esistiamo ancora? Per chi desidera approfondire questi temi in forma narrativa, Il fu Mattia Pascal — L’identità ai tempi degli algoritmi è disponibile su Amazon. eBook Kindle amazon.it/dp/B0G4WMZBWQ Edizione cartacea (copertina flessibile) amazon.it/dp/B0G4N65FXD L'articolo Sparire nell’epoca degli algoritmi: il nuovo Mattia Pascal tra dati, identità e sistemi che ci leggono proviene da Red Hot Cyber.

Vulnerabilità critica in Red Hat OpenShift GitOps: rischio di takeover del cluster Una falla critica è stata individuata all’interno di Red Hat OpenShift GitOps, mettendo a rischio i cluster Kubernetes poiché consente agli utenti con autorizzazioni ridotte di acquisire il pieno controllo degli stessi. OpenShift GitOps è progettato per automatizzare le distribuzioni utilizzando Git come unica fonte. Tuttavia, i ricercatori hanno scoperto che il modello di autorizzazione per la creazione di CR ArgoCD è troppo permissivo. “Se riesci a creare CR ArgoCD, puoi sostanzialmente superare l’intero cluster”, afferma il rapporto sulla vulnerabilità . Questa vulnerabilità, catalogata come CVE-2025-13888 e contraddistinta da un punteggio di gravità pari a 9.1, classificato come critico, permette agli amministratori di uno specifico spazio dei nomi di manipolare il sistema in modo da ottenere l’accesso come root all’intero cluster. Le conseguenze sono: Concessione di privilegi: l’operatore crea un RoleBinding che collega l’istanza ArgoCD dell’aggressore allo spazio dei nomi di destinazione. Carichi di lavoro privilegiati: prendendo di mira uno spazio dei nomi con un vincolo di contesto di sicurezza (SCC) privilegiato, ad esempio predefinito, l’aggressore ottiene la possibilità di eseguire lavori privilegiati. Cluster Takeover: Il lavoro può essere eseguito anche sui nodi master, quindi sostanzialmente ho accesso root ai nodi master e posso prendere il controllo completo del cluster senza problemi. La vulnerabilità risiede nel modo in cui l’operatore GitOps gestisce le risorse personalizzate (CR) di ArgoCD, trasformando di fatto una funzionalità amministrativa standard in un’arma di escalation dei privilegi. Il vettore di attacco funziona manipolando il campo sourceNamespaces all’interno di un CR ArgoCD. Un amministratore dello spazio dei nomi, in genere limitato alla gestione della propria porzione isolata del cluster, può definire uno spazio dei nomi di destinazione (anche privilegiato come default) in questo campo. Si consiglia vivamente agli amministratori di verificare le versioni degli operatori GitOps di OpenShift e di applicare immediatamente le patch di sicurezza più recenti. Limitare la possibilità di creare risorse personalizzate ArgoCD agli amministratori di cluster attendibili può anche fungere da mitigazione temporanea. L'articolo Vulnerabilità critica in Red Hat OpenShift GitOps: rischio di takeover del cluster proviene da Red Hot Cyber.