-
Privilege escalation su Linux: anatomia delle tecniche più sfruttate nei penetration test del 2026
La fase di privilege escalation rappresenta uno dei principali fattori di rischio nei test di sicurezza moderni, spesso più determinante dell’accesso iniziale. È silenziosa, spesso automatizzabile, e si fonda quasi sempre su configurazioni errate che esistono di default in sistemi che non hanno mai ricevuto un hardening esplicito. Secondo il Rapporto Clusit 2025, l’Italia ha…
-
«Breaking TCAS»: vulnerabilità e attacchi nella sicurezza aerea
Alla 14ª edizione della Cyber Crime Conference, ospitata a Roma il 6 e 7 maggio 2026 nell’Auditorium della Tecnica, il Prof. Alessio Merlo, Direttore del Centro Alti Studi per la Difesa (CASD, Scuola Superiore Universitaria), ha presentato i risultati di una ricerca condotta dal CASD insieme all’Università di Genova sulle vulnerabilità del Traffic Collision Avoidance…
-
OSINT Offensivo: l’arma invisibile che precede ogni attacco
Nella cybersecurity esiste una contraddizione che viene sistematicamente sottovalutata: quanto più un’organizzazione comunica, si promuove e si digitalizza, tanto più amplia involontariamente la propria superficie di attacco. Non attraverso falle nel codice o configurazioni errate, ma attraverso qualcosa di molto più ordinario: le informazioni pubblicamente disponibili su se stessa. OSINT offensivo: la ricognizione invisibile che…
-
Passkey: la morte annunciata delle password è finalmente arrivata?
Per decenni, la password ha rappresentato il principale scudo tra l’utente e i propri dati digitali, spesso anche l’unico. Un sistema nato negli anni Sessanta nei laboratori del MIT, concepito per un mondo in cui l’accesso a un computer era un privilegio riservato a pochi ricercatori, governa oggi l’autenticazione di miliardi di persone. Fernando Corbató,…
-
Fine della copia integrale e del sequestro a “strascico”: barriere crittografiche, garanzie costituzionali e giurisprudenza
Alla 14ª Cyber Crime Conference (Roma, 6-7 maggio 2026) Pier-Luca Toselli ha ricostruito il nuovo equilibrio fra esigenze investigative e tutela dei diritti nel sequestro probatorio dei dispositivi digitali. Fra le pronunce più recenti della Cassazione, le direttive delle Procure e il DDL A.C. 1822 / A.S. 806, prende forma un sistema che archivia la…
-
Sanzioni cyber e diplomazia coercitiva: il framework UE alla prova dei fatti
Dall’adozione del Regolamento 2019/796 a oggi, l’Unione Europea ha costruito un arsenale di sanzioni cyber inedito nel dominio cibernetico. Sei anni di applicazione rivelano tanto le potenzialità di questo strumento quanto le sue contraddizioni strutturali, in un contesto geopolitico che non lascia spazio alla compiacenza. Un regime sanzionatorio per il cyberspazio: le fondamenta normative Quando…
-
Sicurezza delle API: il tallone d’Achille dell’economia digitale
C’è un paradosso silenzioso al cuore dell’economia digitale contemporanea. Le API (Application Programming Interface) sono l’infrastruttura nervosa che tiene in vita ogni transazione bancaria, ogni ordine di e-commerce, ogni scambio di dati sanitari, ogni richiesta di un’applicazione mobile. Sono invisibili all’utente finale, onnipresenti nel codice, fondamentali per qualunque modello di business digitale. Eppure, proprio questa…
-
Dalla firma all’attuazione: il percorso della Convenzione delle Nazioni Unite contro la criminalità informatica
Intervento di Glen Prichard, Chief della Cybercrime and Technology Section, United Nations Office on Drugs and Crime (UNODC). 14ª Cyber Crime Conference, Auditorium della Tecnica, Roma, 6 maggio 2026. Ad aprire la 14ª Cyber Crime Conference è stata la prospettiva delle Nazioni Unite sul primo strumento giuridico globale concepito specificamente per la criminalità informatica. A…
-
Supply chain software: cosa insegna l’attacco LiteLLM
Alle 10:39 UTC del 24 marzo 2026, qualcuno ha caricato su PyPI una versione di LiteLLM che non avrebbe dovuto esistere. Non c’era nessun tag corrispondente su GitHub, nessun commit nel repository ufficiale, nessuna release note. Solo un pacchetto Python, apparentemente identico a quello che milioni di sviluppatori scaricano ogni giorno, con qualcosa di nascosto…
-
Whistleblowing e NIS2: quando la segnalazione diventa governance
C’è un momento preciso in cui la complessità normativa smette di essere un problema teorico e diventa un problema operativo: quando un dipendente, un collaboratore o un fornitore si accorge che qualcosa non va (un accesso anomalo ai sistemi, una fuga di dati, una procedura di sicurezza aggirata) e non sa a chi riferirlo, né…
