Honeypot intelligenti: come gli agenti AI ingannano gli attaccanti AI


Stanno arrivando, ma non nascono già pronti. Stiamo parlando degli agenti AI progettati per compiere attacchi informatici. Sebbene si legga in giro che sono già in uso e sembri una tragedia, la realtà è che la tragedia deve ancora arrivare. Al momento gli attacchi basati su agenti AI sono all’inizio della loro carriera e vengono rintuzzati abbastanza facilmente. In futuro, però, non sarà così e allora sia la benvenuta una ricerca pubblicata da Cisco Talos Intelligence Group  che mostra come la stessa AI possa essere utilizzata per ribaltare completamente il paradigma difensivo, trasformando i sistemi vulnerabili in trappole intelligenti. Il concetto alla base è tanto semplice quanto interessante: utilizzare modelli generativi per creare honeypot capaci non solo di simulare vulnerabilità, ma di interagire dinamicamente con gli attaccanti, adattandosi al loro comportamento in tempo reale.

Dalla difesa passiva alla deception attiva

Gli honeypot non sono certo una novità. Da anni vengono utilizzati per attirare attaccanti e studiarne le tecniche, ma tradizionalmente si tratta di sistemi statici, limitati nella loro capacità di simulare ambienti reali. La ricerca di Talos introduce un cambio di paradigma: grazie all’AI, gli honeypot diventano sistemi dinamici in grado di mascherarsi come infrastrutture vulnerabili credibili e interagire con l’attaccante in modo realistico.

Il risultato è un livello di inganno molto più sofisticato. L’attaccante non si trova più davanti un sistema “finto” facilmente riconoscibile, ma un ambiente che reagisce, risponde e si evolve. L’architettura descritta da Talos si basa su tre componenti chiave, che insieme costruiscono un sistema di difesa completamente nuovo.

Il primo elemento è un listener di rete che accetta connessioni e simula la presenza di un servizio vulnerabile. Il secondo è una vulnerabilità “pilotata”, progettata per concedere accesso controllato all’attaccante e mantenerlo all’interno dell’ambiente di analisi. Il terzo, e più innovativo, è il layer di intelligenza artificiale, che interpreta le azioni dell’attaccante e genera risposte coerenti, mantenendo viva l’illusione.

Questo approccio consente di creare sistemi altamente scalabili. A differenza degli honeypot tradizionali, che richiedono configurazioni manuali complesse, quelli basati su AI possono essere distribuiti rapidamente e replicati su larga scala, adattandosi automaticamente ai diversi scenari di attacco.

Il bersaglio sono gli agenti AI malevoli

Uno degli aspetti più interessanti della ricerca riguarda il target di queste trappole: non tanto gli hacker umani, quanto gli agenti autonomi basati su modelli linguistici. Questi agenti, sempre più diffusi, sono progettati per automatizzare attività offensive come la scansione delle vulnerabilità, l’esecuzione di exploit e la raccolta di informazioni. Il problema è che operano con una velocità e una scala difficili da gestire con i sistemi di difesa tradizionali.

Gli honeypot AI-driven permettono invece di intercettare questi agenti, studiarne il comportamento e raccogliere intelligence in tempo reale, offrendo una visibilità senza precedenti su una nuova classe di minacce emergenti.

Il valore principale di questi sistemi non è, infatti, solo difensivo, ma soprattutto analitico. Interagendo con gli attaccanti, gli honeypot intelligenti consentono di raccogliere informazioni dettagliate sulle tecniche utilizzate, sugli strumenti impiegati e sulle logiche decisionali degli agenti AI.

Il rischio della “gamification” della difesa

L’adozione di AI anche lato difesa apre però scenari complessi. Se da un lato gli honeypot intelligenti consentono di ingannare gli attaccanti, dall’altro introducono una dinamica di escalation tecnologica. Gli attaccanti potrebbero a loro volta migliorare i propri agenti per riconoscere e aggirare queste trappole, dando vita a una sorta di “corsa agli armamenti” tra AI difensive e offensive.

Questo porta a un punto chiave: la sicurezza informatica sta evolvendo verso un modello in cui macchine attaccano macchine e altre macchine cercano di ingannarle. Per le organizzazioni, questo scenario implica un cambiamento profondo nell’approccio alla sicurezza. Non è più sufficiente proteggere i perimetri tradizionali o monitorare eventi sospetti. Serve una strategia capace di affrontare minacce automatizzate, veloci e adattive.

Gli honeypot basati su AI rappresentano una possibile risposta, perché permettono di trasformare l’infrastruttura da bersaglio passivo a sistema attivo di difesa e intelligence. Tuttavia, la loro efficacia dipenderà dalla capacità di integrarli in architetture più ampie, che includano detection avanzata, risposta automatizzata e analisi comportamentale.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/29/honeypot-intelligenti-come-lai-viene-usata-per-ingannare-gli-attaccanti-automatizzati/?utm_source=rss&utm_medium=rss&utm_campaign=honeypot-intelligenti-come-lai-viene-usata-per-ingannare-gli-attaccanti-automatizzati




Reset password: una misura di sicurezza che diventa minaccia


Vi ricordate il vecchio adagio “cambia la password almeno ogni sei mesi”? Ecco, da tempo ormai questa prassi e diventata tra quelle sconsigliate da molti esperti, ma resta ancora in auge in alcuni ambienti, tanto che, secondo le analisi di Forrester, ogni reset di password può costare fino a 70 dollari all’azienda del dipendente che deve effettuarlo. Un dato che, da solo, racconta quanto questa attività sia diffusa e strutturalmente rilevante nei processi IT aziendali. Non sorprende quindi che molte organizzazioni abbiano introdotto strumenti di self-service password reset (SSPR), nel tentativo di alleggerire il carico sugli helpdesk. Purtroppo, il numero di richieste gestite manualmente resta elevato, tra onboarding agli strumenti self-service ed eccezioni operative. Inoltre, questa apparente banalità operativa nasconde però un problema molto più profondo: il reset password è uno dei punti di ingresso più sfruttati dagli attaccanti, perché consente di aggirare controlli anche avanzati come la multi-factor authentication.

Quando un reset apre la porta all’attacco

Il motivo è semplice: se un attaccante riesce a convincere un operatore a resettare una password, ottiene credenziali legittime. A quel punto, non è più necessario sfruttare vulnerabilità tecniche, perché l’accesso avviene attraverso canali perfettamente validi.

Un esempio concreto arriva dall’attacco del 2025 contro il retailer britannico Marks & Spencer. L’incidente ha avuto un impatto devastante, con la sospensione delle vendite online per cinque giorni e perdite stimate in circa 3,8 milioni di sterline al giorno.

Secondo le ricostruzioni, il gruppo Scattered Spider avrebbe ottenuto l’accesso iniziale impersonando un dipendente e contattando un service desk esterno. Un semplice reset di password ha fornito agli attaccanti credenziali valide, eliminando la necessità di qualsiasi exploit.

Dal primo accesso al dominio completo

Una volta entrati, gli attaccanti hanno sfruttato Active Directory per estrarre il file NTDS.dit, che contiene gli hash delle password di tutti gli utenti di dominio. Attraverso tecniche di cracking offline, è stato possibile recuperare ulteriori credenziali.

A quel punto, l’attacco si è trasformato in un’escalation silenziosa: movimenti laterali, utilizzo di strumenti legittimi e accessi apparentemente normali hanno consentito di espandere progressivamente il perimetro compromesso.

Quando il livello di accesso è diventato sufficiente, è entrato in gioco il ransomware, con la cifratura dei sistemi critici per pagamenti, e-commerce e logistica. Il risultato è stato un blocco operativo su larga scala, con impatti diretti su clienti e transazioni.

Il service desk come superficie d’attacco

Gli attacchi di social engineering di questo tipo sono particolarmente insidiosi perché non presentano indicatori evidenti di compromissione. Dal punto di vista dell’helpdesk, si tratta semplicemente di una richiesta di supporto come tante altre.

Ed è proprio questa normalità a rappresentare il problema: il service desk diventa un punto di accesso privilegiato per gli attaccanti, soprattutto quando i processi di verifica dell’identità si basano su informazioni facilmente reperibili o aggirabili. In assenza di controlli robusti, una richiesta apparentemente innocua può trasformarsi in un incidente critico.

Per ridurre il rischio, è necessario introdurre meccanismi di verifica che non possano essere facilmente replicati o simulati. L’operatore non deve basarsi su dati dichiarativi, ma deve attivare codici temporanei su dispositivi registrati o integrare sistemi di identità esistenti.

Il punto chiave è la standardizzazione: ogni richiesta deve seguire lo stesso processo, senza eccezioni o discrezionalità, eliminando una delle principali leve sfruttate dagli attaccant.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/23/reset-password-una-misura-di-sicurezza-che-diventa-minaccia/?utm_source=rss&utm_medium=rss&utm_campaign=reset-password-una-misura-di-sicurezza-che-diventa-minaccia




Kyber annuncia il ransomware “post-quantum”, ma…


Kyber è un gruppo ransomware relativamente recente che ha attirato un po’ di attenzione su di sé per le ultime operazioni condotte e una postura piuttosto esibizionista nel dark Web. Questa settimana, ha pubblicato un post a proposito di un attacco riuscito usando un sistema di cifratura post-quantum per bloccare i dati della vittima.  Dietro la narrativa tecnologica avanzata si nasconde, però, una realtà più complessa, in cui marketing criminale e implementazione tecnica non sempre coincidono.

Secondo l’analisi pubblicata da Rapid7, la gang ha sviluppato due varianti distinte del ransomware, entrambe utilizzate nello stesso attacco per massimizzare l’impatto su infrastrutture eterogenee.

Attacchi coordinati tra Windows e VMware ESXi

La strategia operativa di Kyber è ben precisa: colpire simultaneamente ambienti virtualizzati e server tradizionali, ogni ambiente con una versione dedicata del malware. Le due varianti analizzate condividono infatti lo stesso campaign ID e la stessa infrastruttura di pagamento basata su Tor, suggerendo l’azione di un unico affiliato.

Ci sono, però, differenze evidenti tra le due. La variante dedicata a VMware ESXi è progettata per ambienti virtualizzati enterprise, dove può censire tutte le macchine virtuali, cifrare i datastore e modificare le interfacce di gestione con messaggi di riscatto, guidando le vittime nel processo di pagamento.

Parallelamente, la versione Windows — sviluppata in Rust — prende di mira i file server e introduce anche funzionalità sperimentali per interagire con ambienti Hyper-V, ampliando ulteriormente la superficie d’attacco.

Il “falso” post-quantum e la realtà crittografica

Il punto più interessante di tutta la vicenda riguarda la presunta adozione di crittografia post-quantum. La gang pubblicizza l’uso di Kyber1024, un algoritmo di key encapsulation appartenente alla famiglia delle tecnologie post-quantum. Tuttavia, l’analisi tecnica rivela una situazione diversa. Nella variante Linux/ESXi, il post-quantum non è realmente utilizzato perché il ransomware impiega ChaCha8 per la cifratura dei file e RSA-4096 per la protezione delle chiavi, seguendo schemi già consolidati nel panorama ransomware.

Diverso il caso della variante Windows, dove Kyber1024 viene effettivamente implementato — ma con un ruolo limitato. Come chiarisce Rapid7, Kyber non cifra direttamente i dati, ma protegge le chiavi simmetriche utilizzate da algoritmi tradizionali come AES-CTR.

Il risultato è che l’introduzione del post-quantum non cambia l’impatto operativo dell’attacco. Senza la chiave privata degli attaccanti, i dati restano comunque irrecuperabili, indipendentemente dall’algoritmo utilizzato.

Tecniche di distruzione e anti-recovery sempre più aggressive

La variante Windows appare più evoluta anche per quanto riguarda le tecniche di sabotaggio dei sistemi compromessi. Il malware è progettato per eliminare ogni possibile via di recupero dei dati, attraverso una serie coordinata di azioni.

Tra queste emergono la cancellazione delle shadow copies, la disattivazione dei meccanismi di ripristino, l’interruzione di servizi critici come SQL Server ed Exchange e la rimozione dei backup. Inoltre, il ransomware procede con la pulizia dei log di sistema e del cestino, rendendo più difficile anche l’attività forense post-incidente.

Interessante — e quasi ironico — è la presenza di un mutex che sembra fare riferimento a una canzone sulla piattaforma Boomplay, un dettaglio che suggerisce un certo grado di personalizzazione o “firma” degli sviluppatori.

Resta il fatto che in questa fase Kyber sta facendo più marketing che sfoggio di capacità tecnologiche avanzate. Il motivo non è chiarissimo dal momento che non c’è alcun motivo per un gruppo ransomware di “farsi pubblicità”, ma evidentemente anche l’ego dei criminali vuole la sua parte.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/22/kyber-annuncia-il-ransomware-post-quantum-ma/?utm_source=rss&utm_medium=rss&utm_campaign=kyber-annuncia-il-ransomware-post-quantum-ma




L’App europea di verifica dell’età è stata bucata in due minuti


La nuova app europea per la verifica dell’età, presentata come soluzione privacy-friendly per l’accesso ai servizi online, è finita immediatamente sotto scrutinio e non ne è uscita bene. A poche ore dal lancio, un ricercatore di sicurezza ha dimostrato come sia possibile aggirare i meccanismi di protezione in meno di due minuti, sollevando dubbi sulla solidità dell’architettura e sulla reale efficacia del sistema.

Il progetto, promosso dalla Commissione europea, nasce con l’obiettivo di consentire agli utenti di dimostrare la propria età senza condividere dati personali con le piattaforme, riducendo la necessità di raccolta e gestione di informazioni sensibili. Un approccio che punta a coniugare compliance normativa e tutela della privacy, ma che, secondo i primi riscontri tecnici, potrebbe introdurre nuove superfici di attacco.

Un bypass semplice ma strutturale

Le criticità evidenziate non riguardano una vulnerabilità isolata, ma scelte progettuali che espongono il sistema a manipolazioni dirette da parte dell’utente. Secondo quanto emerso, l’app memorizza localmente un PIN cifrato, ma senza legarlo in modo sicuro al vault identitario che contiene i dati di verifica.

Questo dettaglio apre la strada a un attacco relativamente semplice. Modificando alcuni file di configurazione e riavviando l’applicazione, è possibile reimpostare il PIN mantenendo l’accesso alle credenziali già generate, di fatto riutilizzando dati di identità sotto un nuovo controllo di accesso. Il risultato è un sistema che accetta credenziali precedenti senza una reale validazione del contesto.

Controlli aggirabili e sicurezza “resettable”

Ulteriori criticità emergono nei meccanismi di difesa contro attacchi più aggressivi. Il sistema di rate limiting, fondamentale per prevenire tentativi ripetuti di accesso, è implementato come un semplice contatore salvato nello stesso file di configurazione modificabile. Azzerando questo valore, l’app perde memoria dei tentativi effettuati, rendendo possibili attacchi di forza bruta.

Anche l’autenticazione biometrica risulta vulnerabile. La sua attivazione è gestita tramite un flag booleano: modificandolo manualmente, è possibile disabilitare completamente il controllo, bypassando uno dei principali livelli di sicurezza previsti.

In altre parole: i controlli di sicurezza possono essere alterati direttamente dall’utente, compromettendo l’intero modello di fiducia dell’applicazione.

Un problema di design più che di bug

La reazione della comunità di sicurezza è stata immediata. Diversi esperti hanno sottolineato come il problema non sia riconducibile a un semplice bug, ma a una progettazione che non tiene conto dei principi fondamentali della sicurezza mobile.

In particolare, è stata evidenziata l’assenza di integrazione con componenti hardware sicuri, come il secure enclave presente sui dispositivi moderni, che avrebbe potuto proteggere le informazioni critiche da modifiche locali.

Altri dubbi riguardano la logica stessa del sistema, inclusa la presenza di limiti temporali sulle credenziali di età. Un approccio che solleva interrogativi sull’effettiva coerenza del modello, considerando che l’età anagrafica non è un attributo soggetto a variazioni retroattive.

Una sicurezza ancora da dimostrare

L’episodio evidenzia un punto critico per il futuro della regolamentazione digitale: la sicurezza non può essere un elemento secondario rispetto alla compliance normativa. Soluzioni progettate per proteggere gli utenti rischiano di ottenere l’effetto opposto se non supportate da architetture robuste e da una corretta implementazione dei controlli.

C’è da dire che l’approccio di rendere open source il codice dell’app testimonia la buona volontà dell’Unione e traccia un bel precedente di trasparenza e solidità. L’app, infatti, non è ancora scaricabile e la community si è attivata su Github per studiarla prima che potesse far danni. Chi è stato incaricato dello sviluppo è già al lavoro per tappare le numerose falle trovate e seguire i (saggi) consigli ricevuti dalla comunità di sicurezza.

D’altro canto, è abbastanza desolante il fatto che l’Unione costringa le aziende ad assumere una postura di sicurezza ben strutturata con norme severe e poi crei un’app che sembra un colabrodo per la gestione degli accessi online basati sull’età. Speriamo che questa cantonata insegni qualcosa per i progetti futuri.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/17/lapp-europea-di-verifica-delleta-e-stata-bucata-in-meno-di-due-minuti/?utm_source=rss&utm_medium=rss&utm_campaign=lapp-europea-di-verifica-delleta-e-stata-bucata-in-meno-di-due-minuti




Recovery scam: quando la truffa colpisce due volte


Nel panorama delle minacce informatiche, esiste una categoria di attacchi particolarmente insidiosa di cui si parla poco, ma che gode di pessima fama perché colpisce le vittime nel momento di maggiore vulnerabilità: le recovery scam, ovvero le truffe che promettono di recuperare il denaro già sottratto. Secondo Eset, si tratta di una strategia sempre più diffusa, che sfrutta dati, contesto e stato emotivo delle vittime per mettere a segno un secondo attacco dopo una prima estorsione (o furto) andata a buon fine.

Il principio è tanto semplice quanto efficace: chi è già stato truffato rappresenta un target ad alta probabilità di successo. Non a caso, secondo le stime più recenti, solo negli Stati Uniti si sono registrati oltre 7.000 casi nel 2024, con un danno economico superiore ai 102 milioni di dollari. E come spesso accade nel cybercrime, questi numeri rappresentano probabilmente solo una parte del fenomeno reale.

Le “sucker list”: il mercato nascosto delle vittime e come funziona la seconda truffa

Alla base delle recovery scam c’è un meccanismo ben rodato nel mondo del cybercrime: la condivisione di informazioni tra gruppi criminali. Le cosiddette “sucker list” funzionano come veri e propri database di potenziali vittime, contenenti nomi, contatti e in alcuni casi anche dettagli sul comportamento e sulla propensione a cadere in specifiche truffe.

Questi elenchi includono spesso persone che hanno già subito una frode o che hanno risposto a campagne di spam, rendendole particolarmente appetibili per nuovi attacchi. In pratica, la vittima entra in un circuito in cui viene continuamente esposta a tentativi di frode sempre più mirati.

Le recovery scam seguono schemi ricorrenti, basati su tecniche di social engineering e impersonificazione. Gli attaccanti si presentano come società di recupero crediti, autorità governative, forze dell’ordine o specialisti antifrode, dichiarando di poter recuperare il denaro sottratto.

Spesso dispongono già di informazioni dettagliate sulla truffa subita, elemento che aumenta la credibilità dell’attacco. A questo punto, la richiesta è quasi sempre la stessa: un pagamento anticipato per avviare la procedura di recupero, mascherato da commissione amministrativa, tassa o costo di gestione.

In altri casi, i criminali sostengono di aver già recuperato il denaro e chiedono dati bancari o informazioni su wallet crypto per procedere al rimborso. Questa variante è particolarmente pericolosa perché può portare a furti di identità, accessi non autorizzati ai conti e ulteriori frodi finanziarie.

Il ruolo del social engineering

Uno degli elementi chiave di queste truffe è la componente psicologica. I criminali sfruttano la frustrazione e il desiderio di recuperare il denaro perso, facendo leva su urgenza e pressione emotiva. Le comunicazioni sono spesso non richieste e arrivano tramite email, social network, SMS o telefonate.

Le promesse sono volutamente ambiziose, con garanzie di recupero o affermazioni secondo cui i fondi sarebbero già disponibili. In parallelo, vengono utilizzate tecniche di impersonificazione per simulare l’affidabilità di enti ufficiali, mentre i metodi di pagamento richiesti sono spesso difficili da tracciare, come criptovalute o gift card.

Questo mix di elementi rende la truffa particolarmente efficace, soprattutto nei confronti di utenti già colpiti in precedenza.

Difendersi da un attacco “di ritorno”

Dal punto di vista della sicurezza, le recovery scam rappresentano un’evoluzione delle tradizionali frodi advance fee, con un livello più alto di personalizzazione e targeting. La difesa passa innanzitutto dalla consapevolezza: nessun soggetto legittimo contatterà una vittima senza richiesta per offrire servizi di recupero fondi a pagamento anticipato.

È fondamentale verificare sempre l’identità di chi propone questi servizi attraverso canali indipendenti e diffidare da richieste di pagamento immediate. Allo stesso modo, la condivisione di informazioni personali o finanziarie deve essere evitata, soprattutto in contesti non verificati.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/16/recovery-scam-quando-la-truffa-colpisce-due-volte/?utm_source=rss&utm_medium=rss&utm_campaign=recovery-scam-quando-la-truffa-colpisce-due-volte




Supply chain: il 69% delle aziende pronto a co-finanziare la sicurezza


Sembra che il mercato inizi a considerare una cosa sensata il concetto di “sicurezza come responsabilità condivisa”. Questa frase, spesso usata in passato senza una reale presa sulla realtà e forse più come metodo per “scaricare” parte delle proprie responsabilità su altri, adesso trova dei riscontri nella nuova ricerca di Kaspersky intitolata “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”. I primi numeri che saltano all’occhio, infatti, sono che, secondo le risposte date dagli oltre 1500  oltre manager e dirigenti interpellati, quasi il 70% delle aziende è pronto a investire direttamente nella sicurezza di partner e fornitori, riconoscendo quindi che il rischio cyber non è più confinato all’interno del perimetro organizzativo, mentre un ulteriore 25% ha già avviato iniziative concrete di condivisione dei costi. In altre parole, quasi un’organizzazione su quattro è già passata dalla teoria alla pratica, trasformando la protezione della supply chain in un investimento condiviso.

Attacchi in crescita: una minaccia che riguarda un’azienda su tre

La spinta verso modelli di sicurezza collaborativa è direttamente legata alla pressione degli attacchi. Il report evidenzia come quasi il 30% delle aziende sia stato colpito da attacchi alla supply chain nell’ultimo anno, mentre circa il 25% ha subito attacchi basati sullo sfruttamento di relazioni di fiducia già esistenti.

E nonostante gli attacchi siano diffusi in tutto il Pianea, l’analisi evidenzia che la propensione a investire nella sicurezza dei partner varia molto in base all’area geografica, raggiungendo l’83% in India, l’80% in Indonesia e Russia e il 76% in Brasile. Sul fronte dell’adozione concreta, i tassi più elevati si registrano a Hong Kong e Taiwan (33%), seguiti da Spagna (33%), Turchia (31%) e Vietnam (31%).

Il gap tra grandi aziende e fornitori

Alla base di questo cambiamento c’è un elemento strutturale: la disomogeneità delle capacità di sicurezza lungo la supply chain. Le grandi organizzazioni dispongono generalmente di strumenti, competenze e budget più elevati rispetto ai loro fornitori, creando punti deboli che possono essere sfruttati dagli attaccanti. Le aziende più strutturate diventano così abilitatori della sicurezza dell’intero ecosistema, contribuendo a colmare il gap e a ridurre le superfici di attacco indirette.

“Oggi le aziende si rendono conto che la sicurezza non può più limitarsi ai confini della propria organizzazione, ma deve estendersi all’intero ecosistema”, ha commentato Sergey Soldatov, Head of Security Operations Center di Kaspersky. “Le aziende più piccole spesso non dispongono delle stesse capacità di sicurezza delle grandi imprese per cui lavorano, il che comporta rischi aggiuntivi per queste ultime. Condividendo risorse e competenze, le grandi aziende possono colmare questa lacuna, rafforzando i punti deboli lungo l’intera catena di dipendenza e diventando così un motore fondamentale della resilienza informatica globale”.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/15/supply-chain-il-69-delle-aziende-pronto-a-finanziare-la-sicurezza-dei-fornitori/?utm_source=rss&utm_medium=rss&utm_campaign=supply-chain-il-69-delle-aziende-pronto-a-finanziare-la-sicurezza-dei-fornitori




Donne e cybersecurity: crescono le nuove leve e alcune sfide


La cybersecurity italiana continua a crescere, ma la presenza femminile rimane ancora sottorappresentata, competenze e responsabilità siano in aumento. La terza survey della community Women For Security, basata su 154 risposte e 25 domande, evidenzia una realtà articolata: da un lato si vede comunità professionale femminile sempre più qualificata e strutturata, dall’altro criticità persistenti su carriera, retribuzione e inclusione.

I dati mostrano innanzitutto una presenza femminile non limitata alle nuove generazioni. La fascia d’età più rappresentata è quella tra i 26 e i 35 anni (33%), ma emerge anche una quota significativa tra i 36 e i 55 anni che ci ricorda che le donne non sono entrate ieri nel settore. Dal punto di vista geografico, la Lombardia raccoglie il 41% delle risposte, seguita da Lazio (15%) ed Emilia-Romagna (12%), a conferma della concentrazione delle opportunità cyber nei principali poli tecnologici del Paese.

Il livello di formazione risulta particolarmente elevato. Il 49% delle partecipanti possiede una laurea, mentre il 38% ha conseguito master o titoli post-laurea, evidenziando un profilo professionale altamente qualificato. La formazione continua rappresenta inoltre un elemento centrale: il 46% ha seguito percorsi finanziati dal datore di lavoro, mentre il 33% ha investito personalmente nella propria crescita professionale.

La survey evidenzia anche come i percorsi di ingresso nella cybersecurity siano spesso non lineari. Il 23% delle professioniste dichiara di essersi avvicinata al settore per interesse personale, dato raddoppiato rispetto al 2022, mentre il 21% vi è entrato per caso, contro il 10% della precedente rilevazione. Questo conferma la natura multidisciplinare della sicurezza informatica e la possibilità di accesso attraverso competenze eterogenee.

Sul fronte dell’esperienza, cresce la quota di professioniste con oltre dieci anni nel settore (22%), mentre il 26% ha tra cinque e dieci anni di attività. L’area tecnica resta la più rappresentata con il 27%, ma aumentano anche ruoli in ambito legal (11% contro il 5% nel 2022), marketing (11%), commerciale e presales (9%) e project management o divulgazione. Parallelamente, aumenta la presenza in aziende private (71% contro il 64%) e raddoppia la quota di imprenditrici (4% dal 2%). Crescono anche i ruoli di responsabilità, con le posizioni manageriali che passano dal 25% al 32% e quelle dirigenziali dal 5% all’11%.

Nonostante questi segnali positivi, la cybersecurity resta un ambiente a forte predominanza maschile. Il 24% delle partecipanti considera questo contesto una sfida stimolante, mentre il 30% lo ritiene ancora un problema da risolvere. Il 23% dichiara di non aver mai vissuto la predominanza maschile come una difficoltà, ma aumenta la quota di chi la percepisce come un ostacolo concreto, che passa dal 4% al 10% rispetto alla survey precedente. Nel complesso, il 60% afferma di avere con i colleghi uomini lo stesso rapporto che con le colleghe, segno di un clima generalmente collaborativo.

Le criticità più evidenti emergono però sul fronte economico e della carriera. Il 54% delle partecipanti ritiene di percepire uno stipendio inferiore rispetto ai colleghi uomini a parità di ruolo, mentre l’87% considera la propria progressione professionale più lenta, un dato in forte aumento rispetto al 39% del 2022. Anche le opportunità di crescita risultano percepite come inferiori dal 78% delle intervistate, contro il 40% della precedente rilevazione. A questo si aggiunge la difficoltà di conciliare lavoro e vita familiare, indicata dall’88% delle partecipanti, rispetto al 48% del 2022.

Nel complesso, la survey restituisce l’immagine di una comunità di professioniste sempre più qualificata, con ruoli in crescita e maggiore presenza nel mercato, ma che deve fare i conti con un gap significativo in termini di retribuzione, carriera e inclusione. Sebbene la parità di genere non sia ostacolata in questo ambito di carriere STEM, la grave carenza di personale che attanaglia il settore della cybersecurity consiglierebbe di spingere per un reclutamento più efficace tra le donne perché rappresentano una risorsa ancora ampiamente valorizzabile.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/14/donne-e-cybersecurity-crescono-le-nuove-leve-e-alcune-sfide/?utm_source=rss&utm_medium=rss&utm_campaign=donne-e-cybersecurity-crescono-le-nuove-leve-e-alcune-sfide




Social media vietati ai minori? In Australia non sta funzionando


Qualcuno ricorderà che qualche mese fa è stato annunciato dal governo australiano un divieto mirato a tenere i minori lontani dai social. Molte voci “dall’Internet” si erano levate per denunciare l’utopia dietro questa iniziativa, ma il governo è andato avanti lo stesso e il divieto è entrato in vigore il 10 dicembre 2025. Adesso, sono stati pubblicati i risultati di una ricerca commissionata dalla Molly Rose Foundation, una fondazione dedicata al benessere psicologico dei minori, e lo scenario non è quello sperato.

Secondo lo studio, il 61% dei ragazzi tra i 12 e i 15 anni continua a utilizzare i social media nonostante il divieto entrato in vigore a dicembre. I dati, raccolti su un campione di 1.050 minori, indicano che molti account sono rimasti attivi e non sono stati identificati dalle piattaforme, consentendo l’accesso con le stesse modalità precedenti all’introduzione delle restrizioni. Questo elemento introduce un primo tema chiave per la sicurezza: il divieto normativo, da solo, non produce automaticamente un controllo tecnico efficace.

Qualcuno potrebbe obiettare che non serviva lo studio per scoprirlo, ma avere un caso reale aiuta, invece, a comprendere meglio il fenomeno e a studiarne le dinamiche.

Il divario tra regolamentazione e controlli tecnici

La ricerca evidenzia come il problema principale non sia stato l’aggiramento delle regole tramite tecniche avanzate, ma la mancata identificazione degli account esistenti da parte delle piattaforme. In molti casi i minori hanno continuato ad accedere semplicemente perché i loro profili non sono stati rimossi o sottoposti a verifiche più stringenti.

I dati mostrano che le principali piattaforme hanno mantenuto una quota significativa degli utenti più giovani, con percentuali superiori alla metà degli utenti precedenti. Il dato più rilevante è che gli intervistati dichiarano di non aver dovuto utilizzare workaround specifici, segno che il sistema di enforcement non è stato implementato in modo efficace.

Solitamente, su Securityinfo non trattiamo temi sociologici, ma stavolta facciamo un’eccezione perché è un meccanismo che si applica spesso a molte altre casistiche con gli stessi risultati. Misure percepite come protettive possono generare un falso senso di sicurezza, inducendo istituzioni e famiglie a ritenere il problema mitigato quando in realtà l’esposizione rimane sostanzialmente invariata.

Age verification e nuovi rischi di sicurezza

Il dibattito si sposta quindi sui meccanismi di verifica dell’età, che rappresentano il vero nodo tecnico del problema. La Molly Rose Foundation propone l’introduzione di un “systemic duty of care” che obblighi le piattaforme a implementare controlli più stringenti e a rimuovere contenuti non adatti ai minori.

Questo approccio apre però nuove questioni di sicurezza e privacy. Sistemi di age verification basati su documenti o biometria comportano la gestione di dati altamente sensibili, aumentando la superficie di attacco e il rischio di violazioni. Soluzioni meno invasive, al contrario, risultano più semplici da aggirare e quindi meno efficaci nel garantire il rispetto delle restrizioni. Si crea quindi un equilibrio complesso tra protezione dei minori, sicurezza dei dati e fattibilità tecnica che rende difficile implementare controlli realmente efficaci senza introdurre nuovi rischi.

Il contesto europeo e le nuove restrizioni

Il caso australiano assume particolare rilevanza mentre diversi Paesi europei stanno valutando misure analoghe. Il governo britannico sta studiando nuove limitazioni per gli under 16, mentre Grecia, Francia, Spagna e Paesi Bassi stanno lavorando a restrizioni simili. Anche il Parlamento europeo ha proposto una risoluzione non vincolante che suggerisce di limitare l’accesso alle piattaforme social e video per i minori, con soglie differenziate in base all’età.

Questa convergenza normativa evidenzia come il tema non sia più soltanto sociale o educativo, ma anche tecnologico. Senza infrastrutture affidabili per l’identificazione dell’età e senza meccanismi di enforcement coerenti, i divieti rischiano di rimanere misure formali con impatto limitato.

Il caso australiano conferma un principio già osservato in altri ambiti: le policy senza enforcement tecnico tendono a fallire. Lo stesso schema si riscontra nel controllo dei contenuti, nella moderazione automatica e nelle restrizioni geografiche, dove i divieti formali non bastano senza controlli operativi continui.

Nel caso dei minori, il rischio è duplice. Da un lato i ragazzi continuano ad accedere a piattaforme senza protezioni adeguate. Dall’altro le istituzioni possono considerare il problema risolto, riducendo l’attenzione verso strumenti più efficaci di tutela.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/13/social-media-vietati-ai-minori-in-australia-non-sta-funzionando/?utm_source=rss&utm_medium=rss&utm_campaign=social-media-vietati-ai-minori-in-australia-non-sta-funzionando




CPUID compromesso: malware nei download ufficiali di CPU-Z e HWMonitor


Un attacco alla catena di distribuzione ha colpito il progetto CPUID, trasformando per alcune ore il sito ufficiale in un vettore di diffusione malware attraverso il download di CPU-Z e HWMonitor, due delle utility di monitoraggio hardware più utilizzate al mondo. Gli aggressori hanno compromesso una API secondaria del progetto, modificando i link di download e indirizzando gli utenti verso eseguibili trojanizzati ospitati su storage esterni. Il risultato è un classico supply chain attack, in cui i file originali firmati non vengono alterati ma la distribuzione viene avvelenata, inducendo gli utenti a scaricare versioni malevole apparentemente legittime.

Download avvelenati: eseguibile sospetto al posto delle utility ufficiali

Le prime segnalazioni sono arrivate da utenti che hanno notato come il portale ufficiale reindirizzasse a Cloudflare R2 per scaricare i file. Invece delle utility originali, veniva distribuito un archivio contenente un installer malevolo chiamato “HWiNFO_Monitor_Setup”, mascherato come strumento di monitoraggio hardware.  L’esecuzione del file avviava un installer in lingua russa con wrapper Inno Setup, comportamento atipico per software legittimi e immediatamente sospetto. Alcuni utenti hanno inoltre verificato che i file originali erano ancora disponibili tramite URL diretti, confermando che il compromesso riguardava la catena di distribuzione e non i binari firmati.

Le analisi condotte da ricercatori indipendenti e community specializzate indicano che il payload utilizzava un loader avanzato multi-stage, con tecniche progettate per operare quasi interamente in memoria ed eludere soluzioni EDR e antivirus. Secondo i ricercatori, il malware implementa tecniche di file masquerading, esecuzione in-memory e proxying delle funzionalità NTDLL da assembly .NET, una combinazione che lo rende più difficile da rilevare con strumenti tradizionali. Il comportamento osservato suggerisce un attacco mirato e non opportunistico, con un livello di sofisticazione superiore alla media.

Il campione distribuito è stato analizzato su VirusTotal, dove 20 motori antivirus lo segnalano come malevolo, anche se senza classificazione univoca. Alcuni vendor lo identificano come Tedy Trojan, altri come Artemis Trojan, mentre diversi ricercatori lo descrivono come infostealer progettato per sottrarre credenziali e dati sensibili.

L’attacco ha colpito strumenti con milioni di utenti, rendendo particolarmente rilevante l’impatto potenziale. CPU-Z e HWMonitor sono infatti utilizzati sia da utenti consumer sia in contesti professionali per diagnostica hardware, monitoraggio termico e analisi delle prestazioni. Secondo alcuni ricercatori, lo stesso gruppo avrebbe preso di mira anche FileZilla il mese precedente, suggerendo una campagna focalizzata su utility ampiamente diffuse e considerate affidabili. Questo approccio consente agli attaccanti di massimizzare la distribuzione sfruttando la fiducia degli utenti.

Compromissione durata circa sei ore

CPUID ha confermato che l’attacco ha coinvolto una API secondaria, compromessa per circa sei ore tra il 9 e il 10 aprile. Durante questo intervallo, il sito ha mostrato in modo casuale link malevoli, mentre i file firmati originali non sono stati alterati. L’azienda ha dichiarato che la vulnerabilità è stata individuata e corretta e che attualmente i download distribuiti dal sito sono nuovamente puliti. L’incidente sarebbe avvenuto in un momento in cui lo sviluppatore principale era assente, dettaglio che suggerisce una possibile pianificazione mirata dell’attacco.

Cosa devono fare gli utenti

Chi ha scaricato CPU-Z o HWMonitor tra il 9 e il 10 aprile dovrebbe verificare l’integrità dei file, controllare eventuali eseguibili sospetti e monitorare il sistema per comportamenti anomali. In particolare, la presenza del file HWiNFO_Monitor_Setup rappresenta un indicatore di compromissione.

L’incidente dimostra ancora una volta come anche i download ufficiali non siano immuni da attacchi, e come la verifica delle firme digitali e dei checksum resti una pratica essenziale, soprattutto per strumenti amministrativi e diagnostici.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/10/cpuid-compromesso-malware-nei-download-ufficiali-di-cpu-z-e-hwmonitor/?utm_source=rss&utm_medium=rss&utm_campaign=cpuid-compromesso-malware-nei-download-ufficiali-di-cpu-z-e-hwmonitor




Claude Mythos: secretato perché troppo bravo a scovare vulnerabilità


L’annuncio di Anthropic sembrerebbe una trovata di marketing se non fosse che per il momento hanno effettivamente deciso di non vendere il servizio basato sul loro ultimo modello Claude Mythos Preview. La società ha infatti deciso di limitare l’accesso a Claude Mythos Preview a un consorzio ristretto di aziende e organizzazioni, nel tentativo di anticipare i rischi di una nuova generazione di attacchi automatizzati basati su AI.

Il modello, sviluppato con il nome in codice “Capybara”, viene descritto come capace di condurre ricerca autonoma sulle vulnerabilità, individuando bug complessi e persino zero-day in software critici, incluse piattaforme ampiamente utilizzate e componenti infrastrutturali fondamentali. La decisione di non rilasciare pubblicamente il sistema nasce proprio dal timore che le stesse capacità possano essere sfruttate rapidamente da attori malevoli, riducendo drasticamente il tempo necessario per identificare e sfruttare debolezze nei sistemi.

Project Glasswing: un consorzio per anticipare l’AI offensiva

Per gestire in modo controllato queste capacità, Anthropic ha creato Project Glasswing, un’iniziativa che coinvolge oltre 40 aziende tecnologiche e organizzazioni con l’obiettivo di individuare e correggere vulnerabilità in software critici. Tra i partecipanti figurano grandi vendor tecnologici, fornitori hardware e organizzazioni che mantengono componenti open source fondamentali.

L’iniziativa include anche concorrenti diretti nel campo dell’AI, oltre a realtà impegnate nella sicurezza dell’infrastruttura digitale globale. Anthropic ha inoltre dichiarato di mettere a disposizione fino a 100 milioni di dollari in crediti di utilizzo per supportare le attività del consorzio, con l’obiettivo di accelerare il processo di patching e rafforzamento delle piattaforme più esposte.

Secondo l’azienda, lo scopo è fornire un vantaggio iniziale ai difensori, in un contesto in cui modelli analoghi potrebbero emergere rapidamente anche fuori da questo ecosistema controllato. Ma basterà fornire “un vantaggio” ai difensori quando gli attaccanti hanno ampiamente dimostrato di saper correre molto più velocemente?

Vulnerabilità trovate dall’AI: bug vecchi decenni e exploit complessi

La risposta è al momento relegata al parere degli esperti che, dal canto loro, rilasciano dichiarazioni preoccupanti. Anthropic, infatrti, sostiene che Claude Mythos Preview abbia già identificato migliaia di vulnerabilità in software popolari, inclusi sistemi operativi e browser diffusi. Tra i casi citati emerge un bug di 27 anni in OpenBSD, sistema operativo open source noto per la sua attenzione alla sicurezza e utilizzato in numerosi router e firewall.

Il modello avrebbe inoltre individuato problemi in software analizzati milioni di volte da strumenti automatici, senza che le vulnerabilità fossero mai rilevate. In alcuni casi, l’AI non si è limitata a individuare il bug, ma ha anche generato exploit funzionanti, dimostrando una capacità operativa che tradizionalmente richiedeva team di ricerca altamente specializzati.

Questo tipo di automazione rappresenta un cambio radicale: attività che richiedevano mesi di lavoro umano possono ora essere eseguite in pochi minuti, con un impatto potenzialmente enorme sull’intero ecosistema della sicurezza.

L’AI che trova vulnerabilità diventa anche un rischio offensivo

Il punto critico evidenziato dall’annuncio è che un modello ottimizzato per scrivere codice è inevitabilmente efficace anche nel trovarne i difetti. Claude, già diffuso tra sviluppatori e “vibecoder”, viene utilizzato per attività di programmazione complesse e debugging avanzato. Con l’evoluzione delle capacità, la stessa tecnologia può automatizzare scansioni sistematiche dell’infrastruttura software globale.

Il timore è quello di una ricerca industrializzata delle vulnerabilità, in cui agenti AI autonomi catalogano continuamente debolezze in sistemi legacy, applicazioni enterprise e infrastrutture critiche. In questo scenario, il paradigma di sicurezza basato sulla difficoltà tecnica dell’attacco potrebbe non essere più valido.

Molti sistemi critici, infatti, si basano su codice datato che è rimasto sicuro solo perché difficile da analizzare manualmente. Con l’AI, quella barriera viene abbattuta e vulnerabilità storiche potrebbero emergere simultaneamente su larga scala.

Dalla ricerca difensiva alla corsa agli armamenti AI

Diversi esperti che hanno avuto accesso al modello descrivono Claude Mythos Preview come un salto qualitativo nelle capacità offensive e difensive, con implicazioni immediate per il settore. La stessa tecnologia che consente ai difensori di patchare rapidamente le vulnerabilità potrebbe essere replicata da attori ostili per automatizzare la scoperta di nuovi vettori di attacco.

Questo scenario apre una nuova corsa agli armamenti tra AI difensiva e AI offensiva, in cui la velocità di identificazione delle vulnerabilità diventa il fattore chiave. Se modelli analoghi verranno resi disponibili più ampiamente, la superficie di attacco globale potrebbe cambiare rapidamente.

Secondo Anthropic, le capacità di sicurezza del modello non derivano da training specifico, ma rappresentano una conseguenza naturale dell’aumento delle prestazioni generali nei compiti di coding e reasoning. Questo implica che altri modelli futuri avranno probabilmente capacità simili, rendendo inevitabile l’evoluzione del panorama delle minacce.

Un precedente storico e una nuova fase più urgente

La decisione di trattenere il modello ricorda il caso del rilascio graduale di GPT-2, quando venne limitata la diffusione iniziale per timori legati alla generazione automatica di disinformazione. Tuttavia, in questo caso la posta in gioco è diversa: non si tratta di contenuti, ma della sicurezza dell’infrastruttura software globale.

Anthropic segnala che il modello potrebbe essere solo il primo di una nuova generazione di sistemi capaci di condurre ricerca autonoma sulle vulnerabilità, con implicazioni dirette per infrastrutture critiche, dati personali e sistemi industriali.

Il rischio più concreto è che software considerati sicuri perché mai attaccati vengano improvvisamente esposti, richiedendo patch massivi o persino la riscrittura di componenti legacy.

La sicurezza entra nell’era degli agenti autonomi

Lo scenario da “corsa agli armamenti” deve anche far riflettere su di un dettaglio importante: il modello di Anthropic è stato messo sotto chiave (forse) per la buona volontà dell’azienda, ma quanti strumenti simili sono già al lavoro nei laboratori dei vari governi mondiali? La prospettiva a cui dobbiamo prepararci è quella di orde di agenti AI che analizzano continuamente l’infrastruttura tecnologica a caccia di debolezze. Questo scenario può favorire i difensori, ma anche ridurre drasticamente il vantaggio temporale tra scoperta e sfruttamento delle vulnerabilità.

Il risultato è l’avverarsi di una profezia che circola da tempo e che finora stava progredendo velocemente, ma in maniera “controllata”: la cybersecurity diventa un problema di velocità computazionale, non più solo di competenze umane. Le organizzazioni dovranno adattarsi a un contesto in cui la scoperta automatizzata delle vulnerabilità è la norma e la resilienza dipende da una miriade di considerazioni. C’è chi parla di “patching continuo” e chi dice che non è una strada percorribile. Con tutta probabilità la verità starà nel compromesso, com’è sempre accaduto finora, ma di sicuro si avvicinano scenari simili a quelli visti in libri cyberpunk, dove le IA sono senzienti, ma a difesa delle strutture informatiche venivano messi cerberi monoscopo.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2026/04/08/claude-mythos-secretato-perche-troppo-bravo-a-scovare-vulnerabilita/?utm_source=rss&utm_medium=rss&utm_campaign=claude-mythos-secretato-perche-troppo-bravo-a-scovare-vulnerabilita