Cybersecurity & cyberwarfare
Cybersecurity & cyberwarfare【Come anche le comunità per minori sono esposte a minacce cyber】
@informatica@feddit.it
Le informazioni psichiatriche di ragazze e ragazzi vulnerabili hanno un valore economico elevato e possono essere sfruttate, anche a fini di ricatto, nel corso di tutta la loro vita: le comunità terapeutiche che le conservano sono sotto attacco.
L'articolo Come anche le comunità per minori
Cybersecurity & cyberwarfareDeauth attack: l’arma più comune contro le reti Wi-Fi domestiche
Il Deauth attack è uno degli attacchi più noti e storicamente utilizzati contro reti WPA2-Personal, soprattutto come fase preparatoria per altri attacchi.
Sfrutta diverse vulnerabilità intrinseche nel processo d’autenticazione che permettono all’attaccante, tra le altre cose, di estrapolare alcuni dati utilizzabili per il cracking della chiave. È efficace contro la quasi totalità delle reti WPA2 standard IEEE 802.11.
L’efficienza dell’attacco allo scopo di ottenere la chiave di autenticazione è proporzionale alle risorse hardware dell’attaccante ed inversamente proporzionale alla complessità della chiave d’autenticazione.
Può essere lanciato da qualsiasi dispositivo dotato del giusto software e di una scheda di rete compatibile che supporti la monitor mode (una modalità che permette di operare la scheda wireless a più basso livello, avendo così più controllo sull’hardware).
Panoramica
Glossario: AP: Access point (comunemente router Wi-Fi)
Client: Il dispositivo che intende connettersi
Cos’è il Deauth Attack
Il Deauth attack è un attacco informatico il cui scopo principale è quello di forzare la deautenticazione, e quindi la disconnessione, anche temporanea, di uno o più dispositivi Client da una rete Wi-Fi.
Obbiettivi
Gli obbiettivi di questo attacco possono essere di vario genere e natura.
Il più elementare è quello di indurre un disservizio nella rete interrompendo la comunicazione tra questa ed i dispositivi ad essa collegati.
In questo caso l’attacco ricade sotto la categoria dei DoS (Denial of Service).
Un altro caso in cui si vede utilizzato questo attacco è in combinazione con un Evil Twin attack.
Si tratta di un altro attacco informatico ai danni di una rete Wi-Fi e dei dispositivi ad essa connessi che consiste nell’installazione di una rete Wi-Fi apparentemente identica all’originale allo scopo di indurre i dispositivi a connettersi ad essa per perpetrare poi ulteriori attacchi come lo sniffingdel traffico e la manipolazione delle informazioni trasmesse (MITM).
Lo scopo più comune del Deauth attack, tuttavia, è quello di indurre una disconnessione forzata allo scopo di ascoltare e registrare il processo di autenticazione che avviene tra i client e l’access point durante la successiva autenticazione. Questo attacco verrà particolarmente approfondito nell’articolo.
L’autenticazione
Glossario:
AP: Access point (comunemente router Wi-Fi)
Client: Il dispositivo che intende connettersi
Supplicant: Il client, durante l’autenticazione
PSK: Passphrase o password
Pacchetto: dato trasmesso (terzo livello OSI)
Frame: dato trasmesso (secondo livello OSI)
Canale radio: intervallo di frequenze radio definito
Richiesta di autenticazione:
Per comprendere appieno questo attacco, è necessario conoscere il processo di autenticazione delle reti WPA2 personal.
Dopo alcune fasi preliminari non dettagliate in questo articolo (Beacon, Probe request, associazione…) ha inizio il vero e proprio processo di autenticazionecon la richiesta da parte del supplicant verso l’AP tramite l’invio di un frame “Authentication request” (da ora semplicemente “request”). Questo frame viene trasmesso sul canale radio dedicato alla connessione Wi-Fi (2.4GHz / 5Ghz) ed innesca il processo di seguito descritto.
L’handshake
Il cuore dell’autenticazione è senza dubbio la negoziazione che avviene tra il Client e l’AP allo scopo di dimostrare che il Client possiede la chiave d’accesso. Questo dialogo prende il nome di 4 way handshake e può essere così sintetizzato:
MESSAGGIO 1 – ANONCE ED INIZIO DELLA DERIVAZIONE
Il 4-way handshake inizia quando l’Access Point (AP), chiamato Authenticator, invia al client (Supplicant) il primo frame “EAPOL-Key” contenente il proprio dato “ANonce” (Authenticator Nonce), un numero casuale di 256 bit (32 byte) generato sul momento dall’AP. Questo frame contiene anche il Replay Counter (8 byte), numero che serve ad identificare in modo univoco ogni messaggio dell’handshake ed evitare replay (messaggi duplicati).
MESSAGGIO 2 – CALCOLO DELLA PTK ED INVIO DEL SNonCE
Il client genera ora il proprio SNonce (Supplicant Nonce), anch’esso di 256 bit, in modo casuale e non riutilizzabile. Con entrambi i nonce e con le altre informazioni note, il client calcola la PTK (Pairwise Transient Key, una chiave di cifratura temporanea).
La PTK è derivata da una funzione pseudo-casuale definita nello standard IEEE 802.11i, chiamata PRF (Pseudo-Random Function). La formula generale è:
PTK = PRF(PMK, “Pairwise key expansion”, Min(MAC_AP, MAC_STA) ‖ Max(MAC_AP, MAC_STA) ‖ Min(ANonce, SNonce) ‖ Max(ANonce, SNonce))
dove:
PMK (Pairwise Master Key) è una chiave di 256 bit ottenuta dalla passphrase (in WPA2-Personal) tramite PBKDF2-HMAC-SHA1(Password, SSID, 4096, 256).
La stringa “Pairwise key expansion” è un’etichetta fissa che serve come diversificatore per la PRF.
MAC_AP e MAC_STA sono gli indirizzi MAC dell’AP e del client.
L’uso di Min e Max garantisce che entrambe le parti concatenino i valori nello stesso ordine,
indipendentemente da chi esegue il calcolo. Queste funzioni sono infatti di ordinamento e restituiscono il primo (MIN) e l’ultimo (MAX) indirizzo MAC secondo l’ordine alfabetico.
La PTK è lunga 384 bit (48 byte) che vengono suddivisi in tre sottochiavi:
KCK (Key Confirmation Key, 128 bit) → per il calcolo del MIC.
KEK (Key Encryption Key, 128 bit) → per cifrare le chiavi nel messaggio 3.
TK (Temporal Key, 128 bit) → per cifrare il traffico unicast successivo.
Il client calcola poi un MIC (Message Integrity Code) sul messaggio “EAPOL-Key” usando la KCK secondoMIC=HMAC-SHA1(KCK, EAPOL-Frame) ed invia il secondo frame all’AP. In questo messaggio sono inclusi: SNonce, Replay Counter aggiornato ed il MIC. La presenza del MIC dimostra all’AP che il client possiede la PMK valida, poiché senza di essa il calcolo della PTK e di conseguenza del MIC non sarebbe possibile.
MESSAGGIO 3 – VERIFICA E DISTRIBUZIONE DELLA GTK
L’AP, ricevendo il messaggio 2, possiede tutto il necessario per calcolare la PTK in modo identico al client (ha PMK, ANonce, SNonce, MAC_AP e MAC_STA). Verifica quindi il MIC ricevuto: se è corretto, l’AP sa che il client possiede la PMK e valida l’autenticazione.
A questo punto, l’AP installa localmente la PTK e genera o seleziona la GTK (Group Temporal Key, generata dall’AP come numero di 128bit pseudocasuale), usata per il traffico multicast e broadcast. La GTK viene cifrata con la KEK (parte della PTK) per impedirne la lettura da parte di terzi.
Il messaggio 3, inviato dall’AP al client, contiene quindi:
Il Replay Counter aggiornato.
Il campo “Key Information” con flag impostati per indicare che la GTK è inclusa.
Il campo “Key Data”, dove la GTK è cifrata con KEK.
Un nuovo MIC, calcolato con la KCK.
Questo messaggio serve sia a consegnare la GTK, sia a confermare la validità della PTK calcolata da entrambe le parti.
MESSAGGIO 4 – CONFERMA FINALE DEL CLIENT
Il client, ricevuto il messaggio 3, decifra il campo Key Data usando la KEK e ottiene la GTK. Dopo aver verificato il MIC, installa la PTK e la GTK nella propria interfaccia radio per abilitare la cifratura del traffico (ad esempio con AES-CCMP).
Infine invia il quarto messaggio, che contiene solo un MIC calcolato con la KCK ed il Replay Counter incrementato, come conferma della corretta ricezione e installazione delle chiavi.
A questo punto, sia AP che STA condividono la stessa PTK (per il traffico unicast) e la stessa GTK (per il traffico multicast). Il 4-way handshake termina e la connessione cifrata WPA2 è pronta a trasmettere dati in modo sicuro.
La deautenticazione
Glossario: Checksum: codice, calcolato sulla base del contenuto del dato trasmesso, utile per rilevare interferenze nella trasmissione
Il primo passo del Deauth attack (dopo alcune operazioni preliminari atte ad individuare la rete target) è la deautenticazione forzata di uno o più client dalla rete. Questo può essere fatto tramite l’invio di un frame deauth. Questo frame è legittimamente utilizzato per “espellere” un dispositivo dalla rete in caso di necessità costringendolo ad autenticarsi nuovamente, ad esempio in seguito ad una nuova generazione delle chiavi, in caso di inattività prolungata, o per rispettare una policy interna.
Il Deauth frame
I Deauth frames, appartenenti ai Management Frames, non sono in alcun modo cifrati nelle reti WPA2 perché non considerati possibile vettore d’attacco al tempo della definizione dello standard 802.11 (che definisce la maggioranza delle reti WPA2 oggi attive), e per questo la loro falsificazione è molto semplice. Ad oggi esiste uno standard che mitiga questa vulnerabilità (802.11w), ma tuttora quasi inutilizzato.
Il Deauth frame è composto da:
Un header contenente:
Un dato “frame control” di 2 bytes che identifica il tipo (in questo caso, management frame) ed il sottotipo (in questo caso, deauthentication) del frame
Un dato “duration” di due bytes che indica il tempo per il quale il canale sarà occupato
Un dato “destination address” di 6 bytes che indica l’indirizzo MAC del destinatario a cui è rivolto il frame
Un dato “source address” di 6 bytes che indica l’indirizzo MAC del mittente (facilmente falsificabile)
Un dato “BSSID” che indica il nome della rete a cui il frame si riferisce
Un dato “sequence control” utile per il controllo dell’ordine dei pacchetti ricevuti
E da un body (corpo del messaggio) contenente:
Un dato “reason code” di 2 bytes che indica il motivo della deautenticazione (non importante ai fini dell’attacco)
Un dato “frame check sequence” di 4 bytes che contiene un checksum del frame
L’invio del frame
L’attacco ha inizio con l’invio, spesso in broadcast, di uno o più deauth frames.
Il frame viene quasi sempre inviato falsificando l’indirizzo MAC dell’AP, salvo in caso di alcune configurazioni estremamente rare, probabilmente non più esistenti, non coperte da questo articolo.
I client autenticati e connessi accettano il frame e si deautenticano.
La cattura dell’handshake
Dopo un certo tempo dalla deautenticazione (tipicamente alcuni secondi), i client tentano automaticamente di riautenticarsi (salvo diversa impostazione manuale da parte dell’utente, rara negli smartphone e nei dispositivi IoT).
A questo punto, l’attaccante può ascoltare i canali radio e registrare la negoziazione che avviene tra i client (in questo momento “supplicant”) e L’AP.
Il cracking della passphrase
Purtroppo per l’attaccante, i dati trasmessi che hanno a che fare con la chiave (password o passphrase) sono frutto di algoritmi non reversibili. Questo significa che non è possibile ottenere la PSK invertendo l’operazione partendo da un risultato.
È possibile tuttavia procedere per tentativi, introducendo il concetto di bruteforcing.
Il bruteforcing
Conosciuto anche come attacco bruteforce, a volte erroneamente tradotto in attacco di forza bruta, è uno dei più elementari attacchi informatici. Può essere perpetrato contro ogni dato la cui cifratura si basa sull’utilizzo di un secret (un dato che funge da chiave per la decrittazione, come un PIN, una password, un token…).
Consiste nel compiere numerosi tentativi in rapida sequenza allo scopo di indovinare il secret richiesto. Nella forma più elementare, il secret viene generato da un algoritmo pseudocasuale.
In altre forme più sofisticate, il secret può essere estratto da una lista di probabili candidati detta wordlist. In quest’ultimo caso, l’attacco prende il nome di “attacco dizionario”.
Esistono ulteriori forme di attacco bruteforce.
È importante dire che, senza limiti di tempo e/o di risorse, il brute force attack ha il 100% di probabilità di crackare il secret.
La ricostruzione della chiave
L’attacco bruteforce viene in questo caso utilizzato per crackare la PSK. Lo si fa ricostruendo l’handshake registrato, simulandolo localmente tante volte in rapida sequenza, ogni volta utilizzando una nuova chiave candidata, che può essere generata casualmente o letta da una wordlist.
Per ogni chiave candidata viene quindi calcolata la PMK, dunque la PTK ed il MIC, il quale viene confrontato con quello registrato durante la cattura dell’handshake autentico.
Nel caso in cui uno dei tentativi porti ad una corrispondenza dei due MIC, la chiave candidata viene considerata vincitrice.
Post exploitation
Glossario: Backdoor: punto di accesso persistente installato da un attaccante allo scopo di collegarsi al sistema violato con maggiore semplicità
In seguito ad un attacco deauth andato a segno, l’attaccante può utilizzare l’accesso alla rete per i propri scopi.
È tipico bersagliare infrastrutture interne come server locali, computer, dispositivi di rete.
Essendo la rete wireless locale di difficile accesso, poiché richiede vicinanza fisica tra l’interfaccia radio dell’attaccante e l’AP, solitamente si utilizza per accedere più facilmente ad altri dispositivi sui quali installare una backdoor attraverso la quale accedere tramite Internet o altra rete di più semplice utilizzo.
Strumenti
Esistono numerosi strumenti utili all’esecuzione del Deauth attack.
Tra i più conosciuti e storici troviamo Aircrack-ng (contenente Airmon-ng ed Aireplay-ng) ed MDK4 per la deautenticazione, mentre Hashcat e John the ripper per il cracking.
Alternative più complete e moderne come Airgeddon automatizzano il processo ed includono tutti i software menzionati.
L'articolo Deauth attack: l’arma più comune contro le reti Wi-Fi domestiche proviene da Red Hot Cyber.
Cybersecurity & cyberwarfareLeroy Merlin subisce un attacco informatico: dati personali di clienti francesi compromessi
Un’episodio di cyberattacco ha interessato Leroy Merlin, coinvolgendo i dati personali di numerosi clienti in Francia, con un impatto su centinaia di migliaia di individui.
Leroy Merlin assicura che “sono state attivate misure di sicurezza supplementari” con una vigilanza rafforzata, “la protezione dei dati è una priorità assoluta per il marchio”, aggiunge la direzione, precisando che anche la CNIL (Commissione nazionale per l’informatica e le libertà) è stata informata della situazione.
I dati rubati sono relativi soprattutto a informazioni di contatto, quali date di nascita, numeri di telefono, indirizzi di posta elettronica, nomi, domicili e informazioni sul programma fedeltà.
Queste informazioni sono sufficienti a supportare campagne di phishing molto credibili, Frodi su misura e tecniche di ingegneria sociale che usano la reputazione di affidabilità di uno dei marchi più sicuri e popolari nel settore del bricolage e dei prodotti per la casa e il giardino.
L’azienda ha comunicato agli interessati la violazione riportando quanto segue: “Un attacco informatico ha recentemente preso di mira il nostro sistema informativo e alcuni dei vostri dati personali potrebbero essere trapelati all’esterno dell’azienda. Non appena l’incidente è stato rilevato, abbiamo adottato tutte le misure necessarie per impedire accessi non autorizzati e contenere la situazione. Le informazioni in questione sono i tuoi dati di contatto (nome, cognome, numero di telefono, indirizzo e-mail, indirizzo postale, data di nascita) e le informazioni relative al tuo programma fedeltà.”
Sembra che, per fortuna, le informazioni delicate come account, password e dati bancari siano state preservate. I clienti italiani sono stati risparmiati, poiché l’incidente ha coinvolto solo quelli francesi.
La CNIL ha segnalato nell’ultimo rapporto annuale che il numero di violazioni sta aumentando rapidamente nel Paese transalpino. In soli 12 mesi, più di un milione di persone sono state coinvolte e il numero di attacchi riusciti è raddoppiato, passando da 20 a 40.
L'articolo Leroy Merlin subisce un attacco informatico: dati personali di clienti francesi compromessi proviene da Red Hot Cyber.
Cybersecurity & cyberwarfare【Poltronesofà: la comunicazione in seguito a un attacco è customer care】
@informatica@feddit.it
Cosa ha fatto bene Poltronesofà e cosa ha fatto in modo perfettibile. Un caso pratico, reale e fresco per aiutare le organizzazioni a dare le giuste attenzioni ai propri clienti in caso di attacco. Le considerazioni dell’esperto
L'articolo Poltronesofà: la comunicazione in seguito a un attacco è customer
Cybersecurity & cyberwarfare【L’eterno ritorno di Chat Control】
@informatica@feddit.it
Dopo anni di rinvii e modifiche, il Consiglio dell’Unione Europea ha votato a favore della norma contro la diffusione di materiale pedopornografico: ecco come funziona, quali sono i rischi e che cosa succederà adesso
L'articolo L’eterno ritorno di Chat Control proviene da Guerre di Rete.
L'articolo proviene da #GuerreDiRete di
Cybersecurity & cyberwarfare【Session protocol V2: PFS, post-quantum e il futuro della messaggistica privata】
I collaboratori di Session hanno lavorato alla progettazione di un aggiornamento del protocollo Session. Questo aggiornamento affronta ogni punto sollevato dalla community, mantenendo al contempo l'esperienza utente che gli utenti di Sessione si aspettano, tra cui:
- Facile collegamento multi-dispositivo e sincronizzazione dei messaggi tra dispositivi.
- Una semplice procedura per recuperare un account Session utilizzando un'unica password di recupero in caso di smarrimento del dispositivo.
- Garanzia che i messaggi vengano recapitati in modo affidabile e rimangano leggibili da tutti i dispositivi collegati autorizzati.
Oggi annunciamo Session Protocol V2 , un aggiornamento proposto per Session Protocol che mira a reimplementare la segretezza, utilizza la nuova crittografia post-quantistica (PQC) e offre funzionalità di gestione dei dispositivi migliorate per garantire una migliore visibilità e autorizzazione dei dispositivi collegati.
getsession.org/blog/session-pr…
@informatica@feddit.it
Cybersecurity & cyberwarfareOpenDSA Reading, un nuovo tool made in Italy per la dislessia, è stato rilasciato su Ufficio Zero Linux EDU
OpenDSA: Reading è un'applicazione pensata per aiutare i bambini che hanno difficoltà a leggere. Sapete, ci sono alcuni bambini che, pur essendo intelligenti e svegli, fanno più fatica degli altri quando devono leggere un libro o una frase. Questa difficoltà si chiama "dislessia", ed è un po' come avere gli occhiali appannati quando si cerca di vedere qualcosa: le lettere si confondono, si scambiano di posto, e tutto diventa più complicato.
@lorenzodm@mastodon.uno , un giovane divulgatore e Youtuber molto seguito, ha creato questa applicazione proprio per dare una mano a questi bambini. Non con noiose lezioni o compiti da fare, ma con qualcosa di molto più divertente: un gioco!
@scuola@poliverso.org
Grazie a @ufficiozero@mastodon.uno per la segnalazione
Cybersecurity & cyberwarfareLa nomina del Referente CSIRT: un passo cruciale per la sicurezza informatica italiana
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha imposto un’accelerazione decisiva per la sicurezza informatica italiana. Con la Determinazione n. 333017/2025, ha formalizzato la figura del Referente CSIRT, il punto di contatto obbligatorio con il CSIRT Italia nell’ambito della Direttiva NIS2.
La finestra temporale è ristretta: dal 20 novembre al 31 dicembre 2025. Questa scadenza non è un mero adempimento, ma un test concreto di resilienza per tutte le organizzazioni NIS2.
In un contesto di minacce in aumento, la capacità di reagire in modo rapido e coordinato è il fattore discriminante tra contenimento del danno e caos operativo.
L’OBBLIGO NIS2: DALLA NOMINA FORMALE ALLA REALTÀ OPERATIVA
Il Referente CSIRT è la figura responsabile della gestione e notifica degli incidenti significativi. La sfida principale non è nominare una persona, ma garantire che questo ruolo sia integrato in un processo di Incident Response (IR) funzionante.
Il Rischio della Conformità Fittizia
La Determina ACN definisce l’obbligo, ma molti aspetti operativi restano in ombra. Il rischio più evidente è la nomina puramente formale, priva di reali capacità operative.
Secondo Riccardo Margarito, Cyber Security Expert in Nais: «La paper compliance è una falsa conformità che nasconde gravi gap operativi. L’obbligo di notifica all’ACN scatta entro le 24 ore dal momento in cui l’incidente è noto. Senza un vero processo IR e di “contenimento dell’incidente” (eradication) a seguito di un’analisi preliminare svolta da un SOC L2-L3, la notifica sarà inevitabilmente tardiva.»
Questo problema è aggravato dall’approccio ancora largamente reattivo e non preventivo in Italia: oltre il 50% delle organizzazioni interviene sulla propria superficie d’attacco solo dopo aver subito un incidente, un’inerzia incompatibile con le tempistiche NIS2.
IL CONTO ALLA ROVESCIA TECNICO: PRONTEZZA NELLE PRIME ORE
La crescente domanda di un Referente CSIRT realmente competente non è un vezzo normativo, ma la risposta diretta a un panorama di minacce sempre più mirato. L‘ACN, ENISA e il CSIRT Italia delineano un ecosistema ad altissima pressione: oltre la metà degli incidenti registrati (53,7%) ha colpito le “entità essenziali” definite dalla NIS2, dimostrando che la criticità normativa funge ormai da vero e proprio faro per gli attaccanti. La PA rimane il bersaglio primario, seguita dal settore sanitario che registra un inquietante +40% di attacchi nel 2025 e il manifatturiero assediato da un aumento del 71% nell’attività criminale.
Sul fronte della prontezza operativa, la vera battaglia non si combatte sulla quantità di notifiche, ma sulla loro qualità. L’esperto Riccardo Margarito sposta il focus dall’evento in sé alla comprensione profonda dell’intrusione: «Il vero ostacolo non è la notifica, ma la qualità del dato che la alimenta. La risposta iniziale non può limitarsi a constatare il danno, ma deve fondarsi su una triade operativa irrinunciabile: Deep Visibility, Automation & Threat Intelligence.»
La figura del Referente CSIRT non deve limitarsi a gestire un allarme, ma deve interpretare l’intera Kill Chain, distinguendo un falso positivo dall’azione mirata di un noto gruppo Ransomware. Margarito definisce la gestione dell’attacco come una vera e propria “Golden Hour”: il momento cruciale in cui si gioca la partita tra la detection del SOC e l’effettivo dispiegamento delle procedure di Incident Response. Se in quell’ora l’azienda non ha la capacità di correlare i segnali o identificare i primi accessi, la notifica all’ACN rischia di essere tardiva o priva dei fondamentali IoC (Indicators of Compromise) e IoA (Indicators of Attack) richiesti. Il dato più allarmante è che in Italia e in Europa, il 74% delle violazioni viene rilevato da terze parti (come il law enforcement) e non dai team interni, un indicatore inequivocabile di una profonda carenza di Self-Detection.
IL LABIRINTO GIURIDICO: REFERENTE CSIRT VS. DPO
La sovrapposizione tra NIS2 e GDPR è una delle criticità maggiori in caso di attacco. In presenza di dati personali, si attivano due figure con mandati distinti: il Referente CSIRT, responsabile verso ACN, il DPO, responsabile verso il Garante Privacy.
Ivana Genestrone, Avvocato e DPO, consulente legale per Nais, evidenzia il doppio binario normativo: «Il Referente tutela la resilienza dei servizi essenziali e notifica gli incidenti significativi secondo NIS2. Il DPO valuta l’impatto sui dati personali e supporta il soggetto nella fase di valutazione dell’evento/incidente, della sua qualificazione come Data Breach e della eventuale necessità di procedere anche con la comunicazione agli interessati.
La categorizzazione dell’incidente: lo snodo critico
Nelle prime ore è essenziale classificare correttamente l’evento come: incidente NIS2, data breach GDPR, oppure entrambi (caso frequente nei ransomware).
Il problema è che senza competenze integrate, molte aziende non riescono a categorizzare correttamente l’incidente, ritardando una delle due notifiche.
Sulla gestione della crisi, Genestrone è netta: «L’analisi tecnica del Referente – IoC , impatto, categorizzazione – deve alimentare immediatamente la valutazione legale del DPO. Senza un flusso decisionale chiaro, il rischio è una doppia sanzione: per mancata conformità NIS2 e per gestione errata del data breach.»
LA FUGA DI COMPETENZE E IL TREND DELL’OUTSOURCING
Dal confronto quotidiano con le imprese, Nais – specializzata in servizi gestiti cyber e IT – registra una costante: la criticità non è solo normativa o tecnologica, ma soprattutto umana.
La carenza di competenze cyber è strutturale: le aziende faticano a trovare profili qualificati e i team interni assorbono nuove responsabilità senza adeguata formazione, anche in vista della NIS2. Ne deriva un divario crescente tra richieste normative e capacità operative.
In assenza di figure ibride capaci di unire competenze legali e tecniche, l’esternalizzazione emerge come risposta pragmatica per garantire la conformità.
«Il mercato italiano è molto eterogeneo: accanto alle realtà più strutturate c’è un ampio tessuto di PMI che si confronta con la NIS2 senza risorse dedicate», osserva Bianca Amico di Meane, Head of Marketing & Business Development di Nais. «La difficoltà è sempre la stessa: trovare una figura che unisca aspetti legali e tecnici. Per molte aziende questa combinazione non è costruibile internamente. L’esternalizzazione a un Referente CSIRT As-a-Service non significa acquistare una persona, ma un ecosistema: playbook, competenze integrate, SOC e Incident Response».CONCLUSIONE: L’ORA DELLA VERITÀ OPERATIVA
La scadenza di fine dicembre 2025 non è negoziabile. La nomina del Referente CSIRT è la formalizzazione del punto nevralgico della risposta cyber nazionale. Le aziende soggette alla NIS2 devono comprendere che trattare questa figura come una semplice incombenza amministrativa espone l’organizzazione a un rischio inaccettabile, specialmente in un contesto di minacce incessanti (ACN, ENISA).
La vera conformità NIS2 richiede un Referente CSIRT con autorità esecutiva, supportato da un processo di Incident Response validato e da una sinergia impeccabile con la funzione legale (DPO). Quando si verifica l’incidente, la velocità con cui vengono raccolti gli IoC e notificati all’ACN è la differenza tra la resilienza e la sanzione.
La nomina del Referente CSIRT non è un semplice adempimento formale, ma una funzione critica per garantire la resilienza cyber nelle prime ore dell’incidente. Richiede competenze legali, tecniche e di coordinamento integrate – molto più della semplice “nomina”.
L'articolo La nomina del Referente CSIRT: un passo cruciale per la sicurezza informatica italiana proviene da Red Hot Cyber.
Cybersecurity & cyberwarfareLa Sorveglianza Digitale sui Lavoratori sta Arrivando: Muovi il Mouse più Veloce!
Il lavoro da remoto ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale.
Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitoraggio stanno arrivando anche all’interno di Microsoft teams. Pertanto, al posto dello sguardo fisso del capo, questo ruolo verrà sempre più svolto dagli “algoritmi” che monitoreranno per quanto tempo le applicazioni rimangono aperte, quali siti web vengono visitati e con quanta attività viene mosso il mouse e premuto i tasti.
Sistemi avanzati analizzano persino le espressioni facciali e il modo in cui i dipendenti camminano davanti a una webcam. Ma questi strumenti sottolineando al tempo stesso i limiti intrinseci della raccolta di dati personali.
Tuttavia, per molti lavoratori, tale monitoraggio non è visto come una preoccupazione, ma come una sfiducia e una violazione della privacy. Sondaggi e dati dell’American Psychological Association collegano la sorveglianza costante a un aumento dello stress, a un peggioramento del benessere psico-emotivo e al desiderio di lasciare il lavoro.
La necessità di trasmettere immagini da webcam o informazioni mediche sensibili è particolarmente pressante. Le persone chiedono spiegazioni chiare sul motivo per cui i dati vengono raccolti e con chi possono essere condivisi.
Lo sguardo gelido degli algoritmi non è meno pericoloso. I programmi mancano di contesto e scambiano facilmente telefonate o documenti per inattività. Questo porta i dipendenti a fingere un’attività frenetica per il bene degli indicatori di performance, e gli esperti del National Employment Law Project degli Stati Uniti hanno documentato casi di sanzioni ingiustificate e difficili da contestare quando la decisione viene effettivamente presa dal sistema.
Nei magazzini e nella logistica, dove ogni movimento è digitalizzato, la pressione è particolarmente intensa: la fretta di rispettare gli standard si traduce in dolore fisico, affaticamento e burnout. Secondo NELP, la sorveglianza digitale ha anche un impatto sui diritti dei lavoratori, ostacolando l’organizzazione dei lavoratori e fornendo alle aziende uno strumento per la rilevazione precoce dell’attività sindacale, con il pretesto di analizzare altri parametri.
Le regole del gioco stanno cambiando lentamente. Negli Stati Uniti, i datori di lavoro sono tenuti a fornire un avviso sulla raccolta dei dati, ma questi requisiti sono limitati, quindi gli stati stanno cercando di introdurre misure di salvaguardia proprie. La California sta discutendo di vietare i sistemi che riconoscono emozioni, andatura o espressioni facciali e trasmettono dati a terzi.
Nel frattempo, il Massachusetts sta promuovendo una legislazione che proteggerebbe i lavoratori dall’abuso della sorveglianza digitale. Nel frattempo, le autorità federali stanno cercando un approccio unificato alla regolamentazione dell’intelligenza artificiale, il che potrebbe indebolire le iniziative locali. Pertanto, l’interesse per la contrattazione collettiva come mezzo valido per combattere la sorveglianza eccessiva sta crescendo.
I sostenitori di un approccio più cauto insistono sul fatto che tali strumenti siano significativi solo quando aiutano a identificare le tendenze generali e a migliorare i processi, piuttosto che trasformare le persone in parametri. Dove rispetto, autonomia e condizioni di lavoro sicure permangono, la produttività emerge in modo naturale, senza una telecamera onnipresente che controlla ogni mossa.
L'articolo La Sorveglianza Digitale sui Lavoratori sta Arrivando: Muovi il Mouse più Veloce! proviene da Red Hot Cyber.
Cybersecurity & cyberwarfareIl furto al Louvre: quando i ladri insegnarono il Physical Pen Test a tutto il mondo
L’evento che ha scosso il mondo il 19 ottobre 2025 non è stato un disastro naturale o un crollo finanziario, ma il clamoroso furto dei gioielli di Napoleone dal Museo del Louvre. Al di là del valore storico e artistico, per la comunità della cybersecurity, questo episodio rappresenta il più didattico e costoso caso studio di Physical Pen Test dell’anno.
Il Louvre, con i suoi protocolli di sicurezza multistrato, sensori avanzati (biometrici, sismici, a infrarossi) e un team di vigilanza d’élite, può essere concettualizzato come l‘equivalente fisico di una rete aziendale con un’architettura Zero Trust e un WAF/Firewall di ultima generazione. La sua violazione dimostra che la vera resilienza non si basa sulla singola tecnologia, ma sull’integrazione e la verifica continua di processi, persone e tecnologie.
Tutto inizia dall’Open Source Intelligence
Un attacco di successo come quello al Louvre non inizia con l’azione, ma con una meticolosa raccolta di informazioni. Questo è l’equivalente dell’Open Source Intelligence nel dominio digitale.
Gli autori del furto hanno verosimilmente speso mesi, se non anni, a studiare la “superficie d’attacco” fisica tramite un’Identificazione Passiva e Attiva. Hanno analizzato i cicli di pattugliamento, le consegne e i cambiamenti di turno, spesso individuabili tramite semplici osservazioni o fonti social inattese, oltre ai “punti ciechi” delle telecamere di sorveglianza.
Chi si occupa di cybersecurity non può non notare un parallelo diretto con le TTP di un APT che effettua un fingerprinting dei target con mappatura dei sottodomini, analisi dei metadati dei documenti pubblici e lo studio dei profili social dei dipendenti chiave per identificare tecnologie e vulnerabilità comportamentali. L’attacco avviene solo quando il Threat Model è completo e verificato. L’obiettivo non è cercare un exploit ovvio, ma costruire un modello di minaccia completo e predittivo che permetta di agire con un’alta probabilità di successo e una bassa probabilità di rilevamento.
Una volta completata la ricognizione, il passo successivo è l’ingresso. Il fatto che il caveau sia stato raggiunto senza un’effrazione fisica eclatante indica un bypass sofisticato delle difese primarie.
Dal bypass tecnologico alle persone
I sistemi di sicurezza fisica, come quelli digitali, sono vulnerabili non per la loro esistenza, ma per la loro configurazione. Aggirare un sensore di movimento con un movimento al di sotto della soglia di rilevamento o neutralizzare un allarme sfruttando una temporizzazione difettosa tra i turni, è l’equivalente di sfruttare un WAF Bypass o una vulnerabilità di HTTP Request Smuggling dove un payload ambiguo passa inosservato.
Verosimilmente potrebbe essere stata sfruttata una debolezza nel firmware di un componente di sicurezza o un difetto logico nel protocollo di comunicazione degli allarmi: il “difetto zero-day” del sistema di allarme fisico. In sostanza è stato abusato il protocollo di sicurezza piuttosto che la sua robustezza fisica.
Ma l’attacco non è completo senza affrontare l’anello più debole della catena. Qui entra in gioco l’elemento più critico e dove l’analogia con la cybersecurity è più cruda.
Le speculazioni sull’uso di uniformi contraffatte o l’infiltrazione mirata di un insider evidenziano l’efficacia della manipolazione comportamentale.
Tra Tailgating e Social Engineering
Il concetto di Tailgating o Piggybacking non è solo seguire una persona autorizzata attraverso un accesso. In questo caso si presume una forma di Tailgating Sofisticato:
Falsa Identità Accreditata: Utilizzare abiti da manutentore o da addetto alle pulizie, ruoli con accesso ampio ma bassa sorveglianza, è l’equivalente di compromettere una Service Account a basso privilegio ma con accesso a una vasta porzione della rete interna.
Sfruttamento della Buona Fede: Un accesso avvenuto con l’inganno si basa sulla riluttanza umana a confrontarsi con una persona che sembra “appartenere” a quell’ambiente. Questo bypassa controlli d’accesso biometrici e tesserini magnetici, sfruttando la debolezza del sistema più complesso: la percezione umana.
Puoi spendere milioni in tecnologie, ma se non testi la tua Security Awareness e le procedure di verifica del personale contro il Social Engineering, la sicurezza fallirà sempre sull’anello umano.
Superato l’ostacolo umano, il successo finale non è l’accesso, ma l’esfiltrazione dei “Crown Jewels” senza intercettazione. Muoversi all’interno del museo senza innescare gli allarmi interni o essere intercettati dalle guardie di sicurezza, l’equivalente del Blue Team / SOC, richiede la conoscenza esatta delle vie di fuga e dei punti ciechi. È necessario intraprendere un Lateral Movement non convenzionale.
Il metodo di uscita, immortalato nel video che mostra i ladri scendere utilizzando la scala del camion per i “lavori”, è emblematico, è l’analogo digitale di un Command and Control Channel mascherato in traffico legittimo come, ad esempio, DNS o ICMP Tunneling. L’esfiltrazione è stata rapida e chirurgica, minimizzando il tempo in cui i ladri erano esposti ai sensori, esattamente come un APT riduce al minimo la permanenza sulla rete dopo il raggiungimento dell’obiettivo.
La Sicurezza come Paranoia Positiva
Dall’OSINT al C2 passando per il Social Engineering, il furto al Louvre è la prova definitiva che la sicurezza, in qualsiasi dominio, non è uno stato statico, ma un processo continuo di convalida e miglioramento. La fiducia nelle barriere difensive, il “Firewall Fisico“, ha portato a una compiacenza che è stata sfruttata.
Per la comunità della cybersecurity questo evento rafforza il principio che i controlli devono essere testati regolarmente da una prospettiva offensiva. Solo un rigoroso programma di Penetration Test che simuli attacchi a 360 gradi tramite tecnologia, processi e persone può esporre le lacune che, altrimenti, verrebbero sfruttate dal prossimo APT con gli strumenti giusti.
La sicurezza fallisce sempre per mancanza di immaginazione ed i ladri del Louvre ci hanno appena ricordato di espandere la nostra
L'articolo Il furto al Louvre: quando i ladri insegnarono il Physical Pen Test a tutto il mondo proviene da Red Hot Cyber.