Negli ultimi anni, infatti, le minacce digitali sono diventate sempre più frequenti e sofisticate. Dai ransomware – virus che bloccano i dati chiedendo un riscatto – agli attacchi che colpiscono le infrastrutture critiche, nessuna realtà è davvero al sicuro. È qui che entra in gioco la cyber resilienza: un approccio che combina sicurezza, gestione del rischio e continuità operativa.

Per capire meglio, immaginiamo un’azienda che subisce un attacco e perde l’accesso ai propri sistemi. La sicurezza informatica tradizionale punta a evitare che questo accada. La resilienza, invece, si concentra anche su cosa succede dopo: l’azienda ha backup aggiornati? I dipendenti sanno come comportarsi? I servizi possono continuare a funzionare, magari in modalità ridotta?

CyberRes nasce proprio con l’obiettivo di fornire risposte concrete a queste domande. L’evento è rivolto a figure decisionali come CEO, CIO, CISO e responsabili di cybersecurity, risk e compliance, ma i temi trattati riguardano sempre più da vicino anche realtà più piccole e meno strutturate.

Durante l’incontro verranno condivise esperienze reali, strategie e strumenti per affrontare le crisi informatiche. Si parlerà, ad esempio, di business continuity, ovvero la capacità di un’organizzazione di continuare a operare anche in condizioni difficili, e di gestione del rischio, cioè l’insieme di pratiche per identificare e ridurre le vulnerabilità prima che vengano sfruttate.

Un aspetto interessante sarà l’approccio pratico: non solo teoria, ma casi concreti e soluzioni applicabili. Questo è particolarmente importante in un contesto in cui molte aziende, soprattutto le PMI, faticano a tradurre i concetti di sicurezza in azioni operative.

Il programma completo del CyberRes è consultabile a questo link, mentre per partecipare all’evento basta registrarsi al seguente link

Leggi anche: “Cyberattacchi a scuole e università“

Il dato più impressionante riguarda gli “infostealer”, una categoria di malware progettata per rubare informazioni sensibili. Nell’ultimo anno, questi software malevoli hanno contribuito alla compromissione di oltre un milione di conti bancari online. Ma cosa sono, in concreto? Immaginiamo un programma nascosto nel computer o nello smartphone che, senza farsi notare, copia tutto ciò che può essere utile: password salvate nel browser, numeri di carte, dati inseriti automaticamente nei moduli online. Una volta raccolte, queste informazioni finiscono spesso nel dark web, dove vengono vendute o condivise.

Ed è proprio qui che si sta creando un vero e proprio “mercato del crimine digitale”. Le credenziali rubate non restano inutilizzate: vengono organizzate, rivendute e sfruttate per accedere ai conti delle vittime o effettuare pagamenti fraudolenti. Secondo i dati, il 74% delle carte compromesse risulta ancora valido anche mesi dopo il furto, segno che molti utenti non si accorgono subito della violazione.

Parallelamente, cambia anche il modo in cui gli attaccanti cercano di ingannare le persone. Il phishing – cioè le truffe che imitano siti affidabili – resta molto diffuso, ma si sta spostando. Oggi sono soprattutto i falsi negozi online a dominare: quasi una trappola su due imita un e-commerce. Un esempio tipico? Un sito che sembra identico a quello di un brand famoso, con offerte molto convenienti, ma che in realtà serve solo a rubare i dati della carta.

Meno colpite rispetto al passato sono invece le banche, probabilmente perché hanno rafforzato le difese. Questo ha spinto i truffatori a scegliere obiettivi più facili e quotidiani, come lo shopping online.

Un altro cambiamento importante riguarda i dispositivi: diminuiscono gli attacchi ai computer, mentre aumentano quelli agli smartphone. Oggi sempre più persone gestiscono il proprio denaro tramite app bancarie, e i criminali stanno seguendo questa abitudine. Nel 2025 gli attacchi mobile sono cresciuti del 50% rispetto all’anno precedente.

Cosa si può fare per difendersi? Le regole di base restano fondamentali. Usare password diverse per ogni servizio, attivare l’autenticazione a più fattori (quel codice aggiuntivo che arriva via SMS o app), e soprattutto prestare attenzione ai link ricevuti via email o messaggi. Anche un piccolo dettaglio sospetto in una pagina Web può fare la differenza.

Leggi anche: “CV e offerte sul Dark Web“

*Illustrazione progettata da Securelist

Per capire la gravità, basta pensare a come viene usata oggi l’IA: c’è chi carica referti medici, chi analizza contratti o documenti aziendali, dando per scontato che tutto resti confinato nella piattaforma. La falla sfruttava un meccanismo poco noto ma fondamentale di Internet: il DNS, cioè il sistema che traduce i nomi dei siti (come “google.com”) nei rispettivi indirizzi numerici. Normalmente è innocuo, ma in questo caso è stato usato come “canale nascosto” per trasmettere dati, un po’ come inviare messaggi segreti dentro richieste apparentemente innocenti.

Screenshot che mostra un tentativo di connessione Internet in uscita bloccato dall’interno

L’aspetto più insidioso è che le protezioni esistenti non sono state violate direttamente, ma aggirate. ChatGPT, infatti, limita le connessioni verso l’esterno e richiede autorizzazioni esplicite per condividere dati. Tuttavia, poiché il traffico DNS non veniva considerato una vera “uscita di dati”, non scattavano né avvisi né richieste di consenso.

L’attacco poteva partire da un semplice prompt, cioè un’istruzione incollata nella chat. Un esempio concreto: un utente copia un comando trovato online per migliorare la produttività. In realtà, quel testo potrebbe contenere istruzioni nascoste che inducono il sistema a estrarre e inviare all’esterno informazioni rilevanti, come riassunti o dati chiave. Paradossalmente, questi contenuti elaborati dall’IA possono essere ancora più sensibili degli originali.

Il rischio aumenta con i GPT personalizzati, sempre più diffusi. In questo caso, il codice malevolo potrebbe essere già integrato nel sistema, senza bisogno che l’utente faccia nulla di sospetto. I ricercatori hanno dimostrato lo scenario con un finto assistente medico: mentre forniva consigli apparentemente normali, inviava a un server esterno i dati del paziente.

ChatGPT nega il trasferimento di dati verso l’esterno, mentre il server remoto riceve i dati estratti.

Oltre alla fuga di dati, la tecnica potrebbe essere usata anche per eseguire comandi da remoto, trasformando l’ambiente in una sorta di “porta nascosta” controllabile dall’esterno. Un rischio che non riguarda solo la privacy, ma l’intera sicurezza della piattaforma.

La vulnerabilità è stata corretta da OpenAI già a febbraio 2026 e non risultano attacchi attivi. Tuttavia, il caso evidenzia un punto chiave: gli strumenti di IA non possono essere considerati sicuri per definizione. Come già avvenuto per il cloud, anche qui è necessario adottare controlli aggiuntivi e un approccio a più livelli.

Leggi anche: “Scoperta vulnerabilità in ChatGPT“

Durante le nostre quotidiane ricerche, abbiamo scoperto un sito, o meglio un portale, che dichiara di essere un  motore di ricerca dedicato al recruiter, ma che – sinceramente – ci è sembrato tutt’altro. Può infatti essere adoperato per ben altri scopi… Ma procediamo per gradi. Il sito in questione è, a tutti gli effetti, uno strumento potentissimo che permette di entrare in contatto con persone in tutto il mondo, spesso superando barriere che fino a pochi anni fa sembravano invalicabili. Il portale, attraverso il suo motore interno, consente di scandagliare una base dati di  centinaia di milioni di profili, sfruttando criteri avanzati e una struttura che affonda le radici nella precisione algoritmica e nella capacità di lettura semantica. Stiamo parlando della possibilità offerta di ricercare i contatti diretti di milioni di persone, numero di telefono, personale compreso, semplicemente digitando un nome, un ruolo o anche una parola chiave. Il sistema restituisce risultati che includono indirizzi e-mail verificati, numeri di telefono, social collegati e la storia lavorativa della persona. E la cosa più sorprendente è che non si tratta solo di profili generici o sconosciuti: permette di rintracciare figure di alto profilo, VIP, amministratori delegati, giornalisti, dirigenti pubblici e persino politici, inclusi nomi italiani noti al grande pubblico.

L’home page si presenta priva di fronzoli e facile da utilizzare, come un classico motore di ricerca.

BASTA DAVVERO POCO

Non è necessario, dunque, avventurarsi nel Deep Web o nel Dark Web, né spendere cifre esorbitanti per acquistare  pacchetti illegali di dati. Tutto ciò che serve è un account, un minimo di intuito e la giusta combinazione di filtri. È sufficiente inserire il nome di una persona, o persino solo il nome dell’azienda per cui lavora, per accedere a un elenco di risultati che comprendono dati estremamente sensibili, raccolti attraverso fonti pubbliche, API  professionali, combinazioni di crawler e sistemi di verifica automatica. Nessuna violazione apparente, tutto avviene  nel rispetto formale delle policy e delle condizioni d’uso dei servizi consultati, ma il risultato è un’aggregazione spaventosa per dettaglio e precisione. La piattaforma incrocia queste informazioni con LinkedIn, GitHub e altre fonti  online per ricostruire profili completi, talvolta più completi di quanto gli stessi interessati possano immaginare. Nome, cognome, posizione attuale, precedenti impieghi, skills, progetti pubblici, persino e-mail personali e numeri di telefono: ogni frammento viene recuperato, interpretato e collocato nel punto esatto della mappa digitale che rappresenta l’identità professionale (e talvolta privata) di un individuo. Una volta trovata una persona, basta un clic del mouse per salvare il contatto nella propria dashboard. Da lì, è possibile annotare osservazioni, categorizzare il profilo secondo logiche di interesse, esportare i dati in fogli di calcolo o CRM, o persino avviare una campagna di e-mail dirette, sfruttando template o strategie personalizzate. Il tutto con una estrema semplicità.

Cercando il nome “Bill Gates”, la piattaforma restituisce dei profili completi di e-mail, numero di telefono e dettagli lavorativi, dimostrando l’estrema accessibilità di dati sensibili anche per figure di alto profilo.

ADDIO PRIVACY

Il sito è una finestra su una parte nascosta di Internet, che però non è affatto nascosta, anzi: è alla luce del sole,  elegante, ordinata e legalmente disponibile con un abbonamento. Certo, l’utilizzo di questo tipo di strumento solleva domande etiche. Per quanto si basi su dati pubblici o semi-pubblici e non promuova usi illeciti delle informazioni, la facilità con cui si possono ottenere numeri di cellulare, e-mail personali e dettagli sensibili di figure pubbliche o  private fa riflettere su quanto fragile sia ormai il confine tra “profilo professionale” e “sfera privata”. Anche un  parlamentare, un magistrato, un imprenditore, può trovarsi a ricevere una chiamata non desiderata, semplicemente perché il suo nome è stato inserito nella barra di ricerca giusta. Tutto questo si svolge all’interno di un’interfaccia  semplice, accessibile da browser e facilmente integrabile tramite estensioni per Chrome. È qui che il portale rivela la sua natura ambivalente: da un lato, un alleato insostituibile per chi lavora con la rete e ha bisogno di scalare il  processo di contatto umano; dall’altro, un osservatorio che espone quanto sia sottile la linea tra trasparenza e violazione. Eppure, per chi sa usarlo con consapevolezza, rispetto e competenza, può essere una risorsa eccezionale. È come un set di chiavi passepartout per entrare, virtualmente, negli uffici e nei telefoni dei decisori, dei candidati e degli influencer professionali che contano davvero. Un mondo in cui non conta più quanto sia riservato un profilo  LinkedIn, ma quanto bene qualcuno sappia interrogare un database come questo. E dove la differenza non la fa ciò che si è scelto di condividere, ma ciò che qualcun altro è riuscito a scoprire.

Il piano Free del sito consente di visualizzare 5 numeri e 5 indirizzi e-mail e di fare 5 esportazioni al giorno. Per gli altri abbonamenti è necessario spendere qualche decina di euro al mese.

TRA LEGALITÀ E SORVEGLIANZA

L’utilizzo di strumenti come questo sito, per quanto apparentemente innocuo e tecnicamente legale, solleva interrogativi sempre più urgenti in materia di privacy, diritti digitali e tutela dei dati personali. Il Regolamento  Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea stabilisce chiaramente che ogni trattamento di dati personali deve avvenire con il consenso esplicito dell’interessato, oppure deve essere giustificato da un legittimo interesse, purché non invada i diritti fondamentali della persona. Il portale afferma di raccogliere solo dati accessibili al pubblico, spesso già visibili su LinkedIn o GitHub, e quindi – in senso stretto – non violerebbe direttamente il GDPR. Tuttavia, l’uso massivo e automatizzato di queste informazioni per costruire banche dati accessibili a chiunque paghi l’abbonamento, avvicina pericolosamente il sistema a una zona grigia legale. Molti esperti di privacy sostengono che la raccolta passiva e silente di numeri di cellulare personali, anche se tecnicamente reperibili, non corrisponda al principio di minimizzazione dei dati sancito dal regolamento europeo. Il rischio è che la legittimità  tecnica mascheri una forma di sorveglianza soft, in cui nessuno viene spiato con malware o trojan, ma tutti possono essere profilati, contattati, influenzati, anche senza saperlo. E qui nasce la vera domanda provocatoria: abbiamo  davvero bisogno di hacker, quando basta un recruiter con un abbonamento premium? In un’epoca in cui la  reputazione digitale si difende a fatica e i confini della vita privata vengono costantemente erosi, strumenti come  questo mettono in mano a professionisti comuni un potere che fino a poco tempo fa era riservato ai servizi segreti, agli investigatori privati o alle aziende di intelligence commerciale. Il tutto con un’interfaccia semplice, un pulsante Esporta CSV e, a volte, un clic di troppo. Legalmente, siamo ancora dentro i margini. Eticamente, siamo già oltre.

È anche disponibile un’estensione per Google Chrome. Una volta che vi siete collegati su un social, tipo LinkedIn, si apre automaticamente e consente di ricercare i contatti del profilo visualizzato.

Leggi anche: “I bot diventano sofisticati”

*Illustrazione progettata da Freepik

Secondo le prime informazioni diffuse, alcuni dati sarebbero stati sottratti e le entità coinvolte sono state immediatamente informate. Non sono stati forniti molti dettagli tecnici, ma chi ha rivendicato l’attacco sostiene di aver esfiltrato oltre 350 GB di dati, inclusi database. Per capire la portata, si tratta di una quantità enorme: equivale a centinaia di migliaia di documenti digitali.

Quando si parla di “infrastruttura cloud”, si intende un sistema di server remoti accessibili via Internet, utilizzati per ospitare siti e servizi online. È una soluzione molto diffusa perché flessibile ed efficiente, ma proprio per questo rappresenta anche un bersaglio interessante per i cybercriminali: un solo punto di accesso può dare visibilità su grandi quantità di dati.

Dietro l’attacco potrebbe esserci il gruppo Shiny Hunters, noto nel panorama della criminalità informatica. Secondo gli esperti, fa parte di una galassia più ampia chiamata Scattered Lapsus$ Hunters, insieme ad altri gruppi come Scattered Spider e Lapsus$. Si tratta di realtà diverse dai classici gruppi ransomware: invece di limitarsi a bloccare i dati e chiedere un riscatto, puntano prima di tutto a entrare nei sistemi e sottrarre informazioni, per poi usarle come leva di pressione.

Uno degli aspetti più insidiosi riguarda le tecniche utilizzate. Questi gruppi sono particolarmente abili nel social engineering, cioè nell’ingannare le persone per ottenere accesso ai sistemi. Un esempio concreto è il vishing, una truffa telefonica in cui l’attaccante si finge un tecnico o un operatore affidabile per convincere la vittima a fornire credenziali o codici di accesso. In pratica, invece di “hackerare” un computer, si manipola direttamente la persona.

Questa strategia rende gli attacchi molto difficili da prevenire, perché non sfrutta solo vulnerabilità tecniche, ma anche fattori umani come fiducia e distrazione. Inoltre, il fatto che questi gruppi operino in modo fluido, con sottogruppi autonomi, complica ulteriormente le indagini e la difesa.

Questo è il commento di Jakub Souček, Head of eCrime Research Team di ESET:

“Shiny Hunters è uno dei tre ’sottogruppi’ (insieme a Scattered Spider e Lapsus$) che operano sotto il gruppo più ampio di Scattered Lapsus$ Hunters. Sia il collettivo che i gruppi che lo compongono si distinguono dalle tradizionali operazioni di ransomware. I loro componenti sono di lingua inglese, super esperti in social engineering e noti per tecniche aggressive di vishing e di furto d’identità che permettono loro di infiltrarsi nelle grandi aziende. Il loro obiettivo è prevalentemente l’intrusione e l’estorsione piuttosto che gestire un modello di ransomware as a service (RaaS).

In occasione della Giornata Mondiale della Salute, Kaspersky richiama l’attenzione proprio su questo aspetto: più la sanità diventa digitale, più aumenta quella che gli esperti chiamano “superficie di attacco”. In parole semplici, significa che crescono i punti attraverso cui un cybercriminale può tentare di entrare nei sistemi o ingannare gli utenti.

Uno dei problemi principali riguarda i dati sanitari. A differenza di una password o di un numero di carta di credito, che possono essere cambiati, le informazioni mediche sono permanenti e molto dettagliate. Per questo hanno un grande valore sul dark web, dove possono essere vendute o usate per truffe mirate. Ad esempio, un malintenzionato potrebbe sfruttare dati su una patologia per inviare false offerte di cure o visite specialistiche, costruite su misura per risultare credibili.

NON SOLO TEORIA

Negli ultimi anni si sono verificati diversi incidenti: piattaforme di telemedicina che hanno condiviso dati con terze parti, oppure attacchi informatici che hanno bloccato servizi sanitari o esposto migliaia di cartelle cliniche. In alcuni casi è entrato in gioco il ransomware, un tipo di attacco in cui i criminali bloccano i sistemi e chiedono un riscatto per ripristinarli. È un po’ come se qualcuno chiudesse a chiave un archivio ospedaliero e chiedesse denaro per restituire l’accesso.

Parallelamente stanno aumentando le truffe online legate alla salute. Si presentano come siti di cliniche o servizi medici, spesso ben costruiti graficamente, ma con segnali sospetti: domini creati da poco, link social non funzionanti, assenza di informazioni legali. Questi portali spingono l’utente a inserire dati personali o addirittura a caricare documenti e immagini sensibili. Il meccanismo è quello del phishing, cioè un tentativo di “pescare” informazioni fingendo di essere un soggetto affidabile.

Un esempio pratico: si riceve un messaggio che invita a prenotare una visita urgente o un controllo di follow-up. Il link porta a un sito apparentemente professionale, ma in realtà falso. Inserendo i propri dati, si consegnano informazioni preziose direttamente ai truffatori.

Per difendersi non servono competenze tecniche avanzate, ma alcune buone abitudini. È importante utilizzare solo siti ufficiali, evitare di cliccare su link ricevuti via email o messaggi, e diffidare di offerte che creano urgenza o chiedono subito dati sensibili. Anche l’uso di software di sicurezza aggiornati può aiutare a bloccare tentativi di phishing.

leggi anche: “Il malware che ruba dati dalle foto“

*Illustrazione progettata da Freepik

COME FUNZIONA?

La versione infetta dell’app per iOS

SparkCat si nasconde all’interno di applicazioni apparentemente legittime, come app di messaggistica o servizi di consegna a domicilio. Una volta installata, l’app richiede l’accesso alla galleria fotografica dello smartphone: una richiesta che molti utenti concedono senza pensarci troppo. Ed è proprio qui che entra in gioco il meccanismo principale dell’attacco. Il malware analizza le immagini salvate sul dispositivo utilizzando una tecnologia chiamata OCR (riconoscimento ottico dei caratteri), che permette di “leggere” il testo presente nelle foto. In pratica, è come se l’app fosse in grado di scansionare automaticamente gli screenshot per cercare informazioni sensibili. L’obiettivo principale sono le cosiddette “frasi seed”, ovvero le sequenze di parole che permettono di recuperare un portafoglio di criptovalute. Chiunque entri in possesso di queste parole può accedere ai fondi senza bisogno di password.

ANCORA PIU’ SOFISTICATO

La nuova variante introduce alcune differenze interessanti. Su Android, ad esempio, il malware cerca parole chiave in lingue asiatiche, suggerendo che una parte della campagna sia mirata a utenti di quella area geografica. Su iPhone, invece, l’attacco è più ampio: il codice cerca frasi in inglese, rendendo potenzialmente vulnerabili utenti di tutto il mondo. Dal punto di vista tecnico, SparkCat è diventato anche più difficile da individuare. Gli sviluppatori hanno introdotto tecniche avanzate come l’offuscamento del codice (cioè “nascondere” il funzionamento interno del programma) e la virtualizzazione, che rende l’analisi da parte degli esperti molto più complessa. In parole semplici, è come se il malware indossasse diversi “travestimenti” per non farsi riconoscere dai sistemi di sicurezza.

Un aspetto particolarmente preoccupante è che alcune app infette sono riuscite a superare i controlli degli store ufficiali, dimostrando che nemmeno questi ambienti sono completamente sicuri. Inoltre, la diffusione avviene anche tramite siti web che imitano l’aspetto dell’App Store, aumentando il rischio di download inconsapevoli.

COSA EVITARE?

Le buone pratiche restano fondamentali. Evitare di salvare screenshot con informazioni sensibili – come password o frasi seed – è un primo passo importante. Meglio utilizzare app dedicate alla gestione sicura dei dati. Allo stesso tempo, è consigliabile prestare attenzione alle autorizzazioni richieste dalle app: se una semplice app chiede accesso alle foto senza un motivo chiaro, è bene fermarsi a riflettere. Infine, l’uso di soluzioni di sicurezza per smartphone può aiutare a intercettare comportamenti sospetti e bloccare eventuali comunicazioni con i server dei cybercriminali.

Leggi anche: “Il Trojan che buca gli store“

*Illustrazione progettata da Securelist

Per capire la portata della scoperta, è utile chiarire cosa sia un exploit: si tratta di un codice progettato per sfruttare una vulnerabilità di un sistema, ad esempio un errore nel sistema operativo. In pratica, è come una chiave che permette a un attaccante di entrare in un dispositivo senza autorizzazione.

Secondo l’analisi, Coruna non è un insieme casuale di strumenti, ma un sistema evoluto e aggiornato nel tempo. Gli esperti hanno individuato forti somiglianze nel codice con Triangulation, tanto da ritenere che dietro ci sia lo stesso autore. Questo significa che il progetto è stato sviluppato in modo continuo, migliorando le tecniche di attacco e adattandosi ai nuovi dispositivi.

UN KIT MOLTO EFFICACE

Un aspetto particolarmente rilevante è il supporto ai chip più recenti di Apple, come quelli della serie M3 e A17, oltre alla compatibilità con versioni recenti di iOS. In altre parole, il kit è stato progettato per colpire anche dispositivi moderni, non solo quelli più datati. La campagna Triangulation, emersa nel 2023, aveva già dimostrato quanto possano essere sofisticati questi attacchi: sfruttava vulnerabilità cosiddette zero-day, cioè falle sconosciute ai produttori e quindi non ancora corrette. Oggi, la novità è che strumenti nati per operazioni di spionaggio mirato sembrano essere riutilizzati in modo più ampio. Questo aumenta il rischio anche per utenti comuni, non solo per bersagli “di alto profilo”.

La buona notizia è che le vulnerabilità sfruttate da Coruna sono già state corrette da Apple. Tuttavia, i dispositivi non aggiornati restano esposti. È per questo che gli esperti sottolineano ancora una volta l’importanza degli aggiornamenti: installare l’ultima versione del sistema operativo è spesso la difesa più semplice ed efficace.

Leggi anche: “Nuovo spyware prende di mira gli iPhone“

*Illustrazione progettata da Securelist

L’ATTACCO

Nonostante il suo carattere formativo, questo attacco mostra un rischio concreto: un malintenzionato che si imbatta in un computer smarrito o incustodito potrebbe facilmente estrarre il disco o copiarne l’immagine per manipolare i file di sistema e ottenere così l’accesso completo alla macchina. Questa tecnica non si limita a ottenere i privilegi di amministratore, può anche forzare l’account di un utente normale, aprendo di fatto le porte dell’intero dispositivo. In questo articolo illustreremo i passaggi fondamentali per condurre l’offensiva e, parallelamente, spiegheremo le  principali contromisure di sicurezza – come la cifratura del disco – indispensabili per scongiurare intrusioni di questo tipo. Iniziamo!

Debian è una delle principali “distro madre” del mondo GNU/Linux: la sua linea temporale risale agli anni ’90 e da essa derivano numerose distribuzioni popolari come Ubuntu e Linux Mint.

L’AMBIENTE DI LAVORO

Per iniziare, è essenziale configurare una macchina virtuale per simulare un ambiente il più possibile vicino a uno scenario reale. Sebbene gli ambienti virtualizzati possano differire dai sistemi fisici, in questo caso le differenze non influiscono in modo significativo, monteremo infatti la memoria virtuale come se fosse un dispositivo di archiviazione esterno. In questo modo, la procedura risulta applicabile anche in caso di dischi rigidi estratti dal computer o di dischi fissi saldati alla scheda madre, accedendo tramite USB in modalità live. Dopo aver scaricato l’ultima versione di Debian dal sito ufficiale  siamo pronti per configurare la macchina virtuale. Abbiamo scelto Debian perché, essendo la distribuzione “madre” di molte altre varianti, offre un’ampia compatibilità e una base stabile, mentre le differenze rispetto alle “derivate” sono perlopiù limitate ai file di configurazione. Una volta ottenuta l’immagine ISO, procediamo all’installazione di Virtual Machine Manager eseguendo i comandi seguenti:

sudo apt update
sudo apt install virt-manager

Completata l’installazione, avviamo il programma: è sufficiente fare clic sull’icona del monitor in alto a sinistra e seguire la procedura guidata per la creazione di una nuova macchina virtuale. Selezioniamo Supporto d’installazione locale (immagine ISO o CD-ROM), scegliamo la ISO scaricata precedentemente, assegniamo memoria e CPU (consigliato un minimo di 4096 MB di RAM e 4 CPU) e, per finire, configuriamo la quantità di spazio su disco, consigliando almeno 20 GB. Si prosegue con la normale configurazione della macchina virtuale fino all’ultimo passaggio, in cui occorre selezionare la voce Personalizza la configurazione prima di installare. Andando avanti, viene mostrato un pannello di configurazione che permette di modificare l’impostazione del Firmware da BIOS a UEFI, in alcuni casi necessaria per avviare correttamente la macchina. A questo punto, selezioniamo Apply e avviamo l’installazione attraverso il pulsante in alto a sinistra, completando la procedura come di consueto.

Virtual Machine Manager (spesso abbreviato in virt-manager) è un’interfaccia grafica che semplifica la creazione, la configurazione e la gestione di macchine virtuali su sistemi Linux. Sfrutta tecnologie di virtualizzazione come KVM, QEMU e Xen, fornendo strumenti intuitivi per avviare, arrestare e monitorare le istanze virtuali, oltre che per configurare risorse hardware e impostazioni di rete.

PREPARAZIONE DELL’ATTACCO

Terminata l’installazione, avviamo la macchina virtuale selezionandola e facendo clic sull’icona Play. Per verificarne il corretto funzionamento, eseguiamo il comando su e inseriamo la password impostata in precedenza: se l’accesso come utente root va a buon fine, si può procedere a spegnere la macchina. A questo punto, per simulare la situazione di un computer smarrito o lasciato incustodito, passiamo al montaggio dell’immagine del disco come se fosse una  memoria esterna (per esempio una chiavetta USB o una memory card) e ne esploreremo il file system, in modo da  apportare le modifiche necessarie a completare l’attacco. Uno dei vantaggi (o svantaggi, a seconda dei punti di vista)  di un ambiente virtualizzato è la possibilità di accedere direttamente all’immagine del disco senza dover avviare il sistema operativo. Per farlo, ci si affida a guestmount, uno strumento incluso nella suite libguestfs-tools che permette di montare un file immagine (per esempio, in formato qcow2) su una directory del sistema host. In questo modo, si può intervenire in modo trasparente sui file di sistema, esattamente come se si stesse lavorando su un disco fisico collegato via USB. Per prima cosa, è necessario installare i tool necessari:

sudo apt update
sudo apt install libguestfs-tools

Questi pacchetti, disponibili in molte distribuzioni GNU/Linux (come Debian o Ubuntu), mettono a disposizione le  utility di base per interagire con i dischi virtuali. Successivamente, identifichiamo la partizione principale. A tal scopo, apriamo le impostazioni della MV, ovvero cliccando sul pulsante in blu con la i e, alla voce Disco VirtIO 1, annotiamo il percorso del disco, per esempio /var/lib/libvirt/images/debian12.qcow2. Tornati sul terminale,  eseguiamo il comando seguente:

sudo guestfish –ro -a /var/
lib/libvirt/images/debian12.
qcow2 run : list-filesystems

sostituendo il percorso appena trovato. In questo modo, verrà mostrata la struttura della partizione della macchina virtuale:

/dev/sda1: vfat
/dev/sda2: ext4
/dev/sda3: swap

Dopo aver identificato il percorso della partizione ext4, nell’esempio /dev/sda2, creiamo una cartella di montaggio  (per esempio /tmp/mnt_vm) e usando il comando guestmount -a /var/lib/libvirt/images/debian12.qcow2 -m /dev/sda2 /tmp/mnt_vm, ricordandoci di sostituire opportunamente il percorso fino al file qcow2, la partizione di root e la cartella temporanea appena creata.

SHA-512 è un algoritmo di hashing che processa i dati e applica operazioni matematiche complesse e costanti predefinite per produrre un hash di 512 bit, rappresentato da 128 caratteri esadecimali.

Così facendo, il contenuto del filesystem si rende immediatamente visibile all’interno di /tmp/mnt_vm, permettendo una navigazione libera tra le directory classiche di un sistema Debian (tra cui etc, usr, var e così via). Una volta che la struttura di Debian sarà accessibile dalla cartella di montaggio, possiamo modificare liberamente i file altrimenti inaccessibili dall’esterno. Un esempio tipico è la sovrascrittura della password di root. In Debian, come in molte altre distribuzioni GNU/Linux, le password sono memorizzate in forma di hash nel file /etc/shadow. Navighiamo nella directory /tmp/mnt_vm/etc, dove troviamo appunto il file shadow, e generiamo un nuovo hash di password, tramite il comando mkpasswd -m sha-512. Infine, immettendo la password desiderata, otteniamo un hash compatibile con gli standard di Debian. A questo punto, apriamo shadow in un editor di testo, cerchiamo la riga con root e sostituiamo l’hash esistente, situato tra il primo e il secondo : con quello appena creato da mkpasswd, per esempio:

root:$6$IL_VOSTRO_NUOVO_
HASH:19000:0:99999:7:: :.

Salviamo il file e smontiamo l’immagine con guestunmount /tmp/mnt_vm. Quando riavviamo la macchina, Debian rileverà la modifica a shadow e la vecchia password di root verrà sostituita con quella inserita durante la procedura offline. In altre parole, bastano pochi passaggi per acquisire il controllo di un sistema Debian se abbiamo la possibilità di manipolarne il disco. Per la prova del nove, riavviamo la macchina virtuale e proviamo a ottenere i permessi di root con il comando su prima inserendo la vecchia password e poi quella nuova: constaterete subito che l’aggiornamento è andato a buon fine. Il punto focale di questa trattazione non è screditare Debian, bensì evidenziare due aspetti fondamentali. In primo luogo, un sistema GNU/Linux non può opporsi a un attacco in cui l’avversario ha
accesso fisico al disco; in secondo luogo, l’idea secondo cui “basta avere una password robusta per stare al sicuro” è in parte fuorviante, poiché agire a basso livello sui file di sistema permette di aggirare anche le protezioni più solide.

Nel file /etc/shadow i campi sono separati da due punti e contengono informazioni cruciali per la sicurezza degli account.

DIFENDERSI!

Quando si utilizza la cifratura a livello di disco, viene impedito di fatto l’accesso ai file se non si dispone della passphrase o della chiave di decifratura. Ciò significa che, anche se un aggressore si impadronisce dell’hardware, non
potrà montare il filesystem per modificarlo o esaminarne i contenuti. Nello scenario che abbiamo delineato, questo  blocco renderebbe vani i tentativi di sostituire la password di root. La difesa risulterebbe così molto più solida perché l’avversario si ritroverebbe davanti a dati cifrati, il cui contenuto rimane impenetrabile senza le credenziali di sblocco. L’implementazione di un sistema di cifratura integrale è oggi piuttosto semplice: Debian, già durante il processo di installazione, offre la possibilità di cifrare il disco con LUKS. In alternativa, esistono soluzioni come VeraCrypt per la creazione di volumi cifrati separati, oppure sistemi che coinvolgono moduli hardware, come il TPM (Trusted Platform Module), in grado di conservare le chiavi di cifratura all’interno del dispositivo stesso. Scegliere di studiare e comprendere queste tecniche non significa promuoverne un uso illecito, ma piuttosto riconoscere la realtà di un mondo in cui la sicurezza va guadagnata giorno dopo giorno.

Trovi il codice su: https://short.tips/url/codici3841

Leggi anche: “L’invasione delle segnalazioni alle repo“

Il primo bersaglio è stato Trivy, un popolare scanner open source usato per individuare vulnerabilità nel codice. In pratica, Trivy è come un “controllore di sicurezza” automatico: analizza software e container per segnalare problemi prima che diventino rischi reali. Gli hacker sono riusciti a inserire codice malevolo nei suoi processi automatici (le cosiddette GitHub Actions) e nelle immagini Docker, ovvero pacchetti pronti all’uso che gli sviluppatori scaricano e utilizzano direttamente.

Il risultato?

Ogni scansione effettuata con Trivy ha iniziato a raccogliere di nascosto dati sensibili: chiavi di accesso, credenziali cloud e persino portafogli di criptovalute. È un po’ come se un antivirus, invece di proteggere il computer, copiasse le password e le inviasse a un estraneo.

Con le credenziali sottratte, gli attaccanti hanno fatto un ulteriore passo: compromettere LiteLLM, una libreria Python molto diffusa (circa 97 milioni di download mensili), utilizzata per collegare applicazioni a modelli di intelligenza artificiale. Sono state pubblicate su PyPI due versioni infette del software, che installavano automaticamente una backdoor, cioè una “porta segreta” che consente accessi non autorizzati.

Da lì l’attacco si è propagato ulteriormente: i sistemi colpiti hanno iniziato a diffondere malware in ambienti cloud complessi, come Kubernetes (piattaforme che gestiscono applicazioni su larga scala), e persino nell’ecosistema JavaScript tramite un worm autoreplicante.

Secondo le stime, sarebbero stati sottratti circa 300 GB di dati e oltre 500.000 credenziali. Gli hacker avrebbero poi utilizzato queste informazioni per tentativi di estorsione nei confronti di diverse aziende. In meno di due minuti, inoltre, sono stati compromessi decine di repository ufficiali di Aqua Security, la società che sviluppa Trivy.

Paradossalmente, l’attacco è stato scoperto a causa di un errore degli stessi aggressori: il malware generava troppi processi, causando crash nei sistemi infetti e attirando l’attenzione.

Questo episodio è un esempio concreto di attacco alla “supply chain software”. In termini semplici, significa colpire un componente fidato per raggiungere tutte le persone che lo utilizzano. È come manomettere un ingrediente alla fonte: chiunque lo userà sarà a rischio. Gli esperti sottolineano che le difese tradizionali non sono più sufficienti. Oggi è fondamentale controllare il comportamento dei programmi in esecuzione e non solo riconoscere firme note di malware. Anche le pratiche di sviluppo devono evolversi: bloccare le versioni dei software utilizzati, evitare aggiornamenti automatici non verificati e proteggere gli accessi con sistemi come l’autenticazione a più fattori.

Leggi anche: “Cresce l’allarme sulle truffe luce e gas“