Usi una password o una passphrase? Il caso del furto al Louvre

In questo periodo è ancora su tutti i giornali e su centinaia di blog il caso del furto al Louvre, “il Museo” per definizione.

Non solo per il prestigio del museo e della città (“Paris, je t’aime!”) scalfiti (seppur solo temporaneamente) da questo incidente informatico contestuale al furto dei gioielli, quanto per le inettitudini a livello di gestione della Cybersecurity – questa materia complessa e variegata, piena di sigle strumenti e protocolli, di svariate figure professionali, che pur tuttavia si regge solo rispettando i suoi pilastri (“best practice“) e le sue fondamenta strutturali – che hanno favorito il furto.

E una delle regole fondamentali della Cybersecurity (vera, non a chiacchiere) è: devi avere un sistema di autenticazione (caro utente dietro la connessione in arrivo, ma CHI diavolo sei?) dietro cui ci sia un sistema autorizzativo (dimmi appunto prima CHI sei, e ti dirò COSA sei AUTORIZZATO o meno a fare nel SISTEMA).

Gli enti pubblici spendono milioni di euro (o dollari) in consulenze, infrasrutture, server, certificazioni, appliance e quant’altro il (ricco) mercato della Cybersecurity mette a disposizione, ma spesso mancano le basi, si trascurano i dettagli delle fondamenta strutturali e si dà per scontato questo o quello. Accade in Italia così come all’estero.
Ed è stato questo, ad esempio, proprio ciò che è successo al sistema di videosorveglianza del Louvre, evidentemente gestito con negligenza a livello di sicurezza (chi ha configurato i dispositivi ha impostato “Louvre” 🙃 come password: una lezione di (in)sicurezza informatica da 100 milioni di dollari che – almeno i parigini – ricorderanno a lungo).

Le interfacce di management di una webcam, di un sistema di videosorveglianza e/o di un qualunque altro dispositivo IoT che ha un piede su Internet devono essere configurate con password lunghe e complesse, o ancor meglio con una passphrase facile da ricordare ma non banale né corta (es: “EvvivaLEuropaUnitaOraESempre”)

Non rispetti queste semplici regole? Dai tuoi tecnici fai gestire con superficialità gli aspetti di sicurezza informatica dei tuoi sistemi ICT/OT? Non effettui un monitoraggio proattivo e meticoloso di ciò che accade nel tuo datacenter attraverso SIEM né EDR?
Spiacente, ma la prossima vittima di un databreach o di un’intrusione informatica (con conseguente furto fisico o digitale) potresti essere tu.

P.S.: accertarsi se l’interfaccia di management di un dispositivo (webcam, router, access point ecc..) e/o API e/o webapp sia stata o meno configurata con una password banale non è un processo lungo e complicato, basta un ICT audit o un vulnerability assessment fatto a dovere da un professionista del settore (…come, guarda caso, il sottoscritto).

Link di approfondimento:
– Link1
– Link2
– Link3

PhaaS/AiTM toolkit

Interessante Adversary-in-the-Middle (AiTM) phishing kit… valida alternativa commerciale a Evilginx Pro

Link di approfondimento:
– Link1
– Link2
– Link3

nmap, una galassia di possibilità

Ancora oggi, molti addetti ai lavori utilizzano questo magnifico tool di Fyodor con superficialità… ad esempio in molti credono che da nmap non sia possibile farsi restituire solo gli indirizzi IP (quindi senza gli ulteriori dettagli che il tool normalmente ci restituirebbe) che hanno effettivamente la porta che ci interessa in stato open, ma come si evince da questa schermata, è possibile farlo concatenando in pipe qualche comando bash.

Di seguito il comando testuale se desideri (ri)utilizzarlo:
nmap -n -Pn target/subnet -p3389 -oG – | grep ‘/open/’ | awk ‘/Host:/{print $2}’
(attenzione agli apici e al simbolo – quando incollerai questo codice nella tua shell: riconfrontali con la videata, poiché WordPress cambia volutamente gli apici)

target/subnet va ovviamente sostituito con la sottorete che desideri scansionare (ma puoi inserire banalmente anche un unico target /32), come nella scansione che vedi in videata (da cui è possibile desumere che un sysadmin imprudente abbia lasciato raggiungibili da Internet ben 11 servizi RDP!), mentre immediatamente a destra del flag -p va inserito il numero di porta che ti interessa verificare (da remoto o in locale).

P.S.: è possibile personalizzare ulteriormente il comando per farsi restituire anche l’hostname del target di cui nmap rileva la porta aperta.

Letture di approfondimento:
– “Nmap Network Exploration” (Calderon, 2021)
– “Nmap Network Scanning: A Complete Guide to Exploring And Scanning Networks With NMAP” (S. Gellis, 2024)

NTLM reflection vulnerability, di nuovo!

CVE-2025-33073 è una vulnerabilità remota (RCE) sfruttabile se sul target (sistemi Windows) è attivo il servizio SMB sprovvisto di firma digitale nei domini AD (Active Directory) on-premises in cui il sysadmin ha lasciato le impostazioni di default (diciamo il 99% dei casi?🤑😱😈).

Perché dovresti preoccupartene se non hai ancora aggiornato Windows? Poiché sfruttando questa vulnerabilità, un attacker riuscirebbe a fare privilege escalation (permette di acquisire i permessi dell’account SYSTEM partendo da un account con pochi privilegi) in poco tempo sulla maggior parte di host Windows (consulta Link2) sprovvisti di firme SMB.

Per agevolare il rilevamento dell’exploit, è possibile utilizzare la seguente query KQL progettata per identificare richieste DNS sospette, ossia con informazioni di destinazione potenzialmente indicative dello sfruttamento di CVE-2025-33073

Link di approfondimento:
– Link1
– Link2 (PoC originale, pubblicata il 14-giugno-2025)
– Link3 (PoC di approfondimento)

Sessioni Windows anomale, un tool FOSS per rilevarle da remoto

Ti sei mai chiesto come rilevare eventuali sessioni utente sospette o insolite sui computer del tuo dominio Windows? FindUnusualSessions è un tool di enumerazione delle sessioni remote che sfrutta il protocollo Windows RPC per agevolare il rilevamento di anomalie relative agli utenti connessi alle tue reti.

🛠️ Funzionalità principali:
✅ segnala utenti di dominio esterni insoliti o inusuali che potrebbero costituire un sintomo di movimenti laterali o compromissioni non ancora individuate dai tuoi XDR/EDR
✅ utilizza RPC per interrogare da remoto i dispositivi Windows

OpenSSL e crittografia post-quantum

Manca poco (8 aprile 2025) al rilascio di un innovativo software gratuito per applicare crittografia moderna: OpenSSL 3.5.

Per la prima volta un’intera gamma di applicazioni, inclusi i web server, saranno in grado di utilizzare PQC (Post Quantum Cryptography) e quindi di migliorare la Cybersecurity del settore nonché dei servizi erogati. OpenSSL è la libreria globalmente più utilizzata per cifrare file e stream, e appunto dalla versione 3.5 supporterà la sostituzione del protocollo crittografico ECDH con ML-KEM nonché degli algoritmi RSA ed ECDSA con ML-DSA.

L’integrazione più interessante per lo scambio di chiavi sarà quella di poter utilizzare un metodo ibrido, come ML-KEM-X25519, il quale utilizza sia X25519 (con curve ellittiche) che ML-KEM per creare la chiave. Dalla versione 3.5 in avanti ci sarà anche la possibilità di applicare metodi di firma digitale ibridi, come ML-DSA-Ed25519.

Ulteriori informazioni disponibili su:
– Link1
– Link2
– Link3

DNS server che consentono di cifrare il traffico

Su Windows11 è semplice e immediato configurare DoH.

Conosci altri server DNS pubblici che consentono di cifrare le chiamate e risposte DNS? Indicali pure tra i commenti, grazie.

Catturare flussi AV da webcam senza hackerarle

📸 E se qualcuno potesse ricostruire le trasmissioni in realtime della tua webcam senza neanche hackerarla?
In un recente studio congiunto pubblicato da due università americane e un’università cinese, i ricercatori hanno scoperto EM Eye, una vulnerabilità legata allo spettro elettromagnetico che consentirebbe un attacco side-channel in grado di permettere la ricostruzione di flussi di immagini ad alta qualità da telecamere integrate avendo a disposizione solo un’antenna, un SDR e un notebook, senza dover accedere fisicamente al dispositivo!
💥 Gli esperimenti dimostrano che gli attacker possono tecnicamente catturare attraverso i muri il segnale digitale da oltre 2 metri di distanza, riuscendo ad esempio a spiare le fotografie degli smartphone, delle dashcam, finanche immagini trasmesse dalle telecamere di sicurezza IoT.
🔍 Lo studio rivela come dalle emissioni EM involontarie generate dalle proiezione di immagini digitali trapelino informazioni visive, consentendo potenzialmente un’intera nuova classe di attacchi in stile TEMPEST. La buona notizia? Il documento propone anche contromisure a basso costo per mitigare questa minaccia informatica.
📢 Una lettura obbligata per tutti i professionisti della sicurezza informatica, i progettisti di hardware ed i sostenitori della Privacy, poiché gli attacchi a livello fisico sono tra i più insidiosi da contrastare.

OT/ICS testing lab

Testare il livello di sicurezza informatica di architetture e sistemi OT (Operational Technology, ossia l’informatica e l’elettronica che hanno a che fare con gli impianti industriali) risulta estremamente più complicato rispetto al testing dei tradizionali sistemi ICT, poiché non esistono molti simulatori OT flessibili e gratuiti.

Senza gli strumenti e gli ambienti di testing più appropriati, già solo nel settore ICT risulta oneroso:
– analizzare le API più critiche e monitorarne minuziosamente chiamate e risposte tramite SIEM
– selezionare in maniera oculata gli eventi di sicurezza informatica, analizzarli, custodire e garantire l’integrità dei log di Microsoft Windows
– analizzare in tempo reale gli eventi di switch Cisco
– gestire scrupolosamente i Syslog di sistemi Linux/Unix
– monitorare gli eventi di firewall, IDS/IPS, access point, proxy, sistemi Radius e quant’altro
– ricreare le configurazioni dei sistemi in produzione

Per il settore OT 🪖, il discorso si complica giacché:
– non è così scontato avere a disposizione un ambiente di test fisico comprensivo di tutti i componenti (presenti invece in produzione) che è necessario testare e monitorare
– hai i pezzi di ricambio completi?
– gli apparati e i sistemi usati nel mondo industriale sono costosi, spesso carenti di connettività tradizionale e complicati da installare localmente
– anche avendo budget, una copia speculare dell’hardware in produzione non è sempre disponibile per i test (chi paga se i nostri penetration test o vulnerability assessment dovessero inavvertitamente causare danni fisici agli impianti o agli operai che li utilizzano?)

💡 Pochi giorni fa è stato lanciato Labshock, un laboratorio virtuale ICS gratuito.
Molti utenti lo hanno installato, e dopo svariati test non hanno riscontrato (almeno per il momento) bug critici.

🟢 Cos’è Labshock?
È un laboratorio virtuale per l’apprendimento di sistemi ICS e OT. Costituito da una piattaforma versatile sia per la configurazione che per il testing avanzato, emula sistemi ICS consentendo di:
– mettere in pratica tecniche di rilevamento e risposta ad attacchi informatici industriali
– configurare PLC
– apprendere meglio le reti e i sistemi ICS
– esplorare sistemi SCADA
– emulare PLC multivendor
– effettuare in sicurezza il pentesting e il monitoraggio di sistemi OT
– creare e testare regole di correlazione per minacce informatiche industriali usando SIEM OT

🌟 Requisiti tecnici:
[RAM] SCADA 150 MB, PLC 80 MB, router 1 MB
[CPU] occorre limitare individualmente le risorse per ogni servizio
[HDD] piccolo come un singolo file di un film o di una VM

Sei interessato a formazione o a simulare scenari di breach attraverso LabShock? Contattami!

Letture e risorse di approfondimento:
– Link1
– Link2
– Link3
– canale Discord del progettista
– Link5

COMViewlogger, uno spyware cha fa uso di una nuova tecnica

Interessante giocattolo rilasciato da un Red Team russo.
Link alla documentazione e ai sorgenti del tool, disponibili in C++