Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Banner Ransomfeed 970x120 1
320x100 Itcentric

Tag: penetration test

Il furto al Louvre: come la governance delle password può compromettere la sicurezza

Redazione RHC 03/11/2025

“Quando la chiave è ‘Louvre’ – Il furto che insegna come la governance delle password può far vacillare anche i più inviolabili baluardi” Il 19 ottobre 2025 il Museo del Louvre fu teatro di un furto clamoroso: nella celebre Galerie d’Apollon, una banda entrò attraverso una finestra grazie a un cestello elevatore installato su un camion, rimase all’interno per pochi minuti e scappò con almeno otto gioielli di straordinario valore appartenenti ai gioielli della Corona francese. In seguito all’evento emerse un dettaglio emblematico per tutti gli operatori di sicurezza: il server di videosorveglianza, secondo quanto riportato dalla stampa, aveva come password… il

100 ricercatori di bug, 32 milioni di dollari! HackerOne: I bug sulle AI stanno aumentando!

Redazione RHC 03/10/2025

La piattaforma di ricompensa per le vulnerabilità HackerOne ha riferito che gli hacker white hat di tutto il mondo hanno ricevuto 81 milioni di dollari di risarcimenti negli ultimi 12 mesi. Secondo l’azienda, si tratta di un aumento del 13% rispetto all’anno precedente. Oggi, HackerOne gestisce oltre 1.950 programmi di bug bounty e fornisce servizi di divulgazione delle vulnerabilità, penetration test e auditing della sicurezza del codice. Tra i suoi clienti figurano Anthropic, Crypto.com, General Motors, GitHub, Goldman Sachs, Uber e agenzie governative, tra cui il Dipartimento della Difesa degli Stati Uniti. In media, i programmi attivi pagano ai ricercatori circa 42.000

Kali Linux ora su macOS Sequoia con Apple Silicon! la containerizzazione secondo Apple

Redazione RHC 01/08/2025

Con la crescente integrazione degli strumenti Linux nei sistemi consumer, Apple ha compiuto un passo importante verso i professionisti della sicurezza informatica. Con il rilascio di macOS Sequoia, l’azienda ha introdotto il proprio sistema a container, consentendo alle distribuzioni Linux di funzionare in un ambiente virtuale isolato sui dispositivi Apple Silicon. Una delle prime distribuzioni compatibili è stata Kali Linux, una popolare piattaforma per penetration test e analisi di sicurezza. Alla WWDC 2025 è stato annunciato un nuovo framework chiamato Container. Questo meccanismo consente a Linux di funzionare all’interno della virtualizzazione integrata in macOS, senza la necessità di installare un hypervisor di

OMGCable: la sottile linea rossa tra penetration testing e sorveglianza occulta

Sandro Sana 17/07/2025

Nel 2021, durante una delle mie esplorazioni sul confine sempre più sfumato tra hardware e cybersecurity, scrivevo un articolo dal titolo che oggi suona quasi profetico: “Anche un cavo prende vita”.Allora si parlava degli albori del progetto OMG Cable: un innocuo cavo USB che, nascosto dietro l’aspetto di un semplice accessorio di ricarica, celava un cuore digitale capace di compiere operazioni di compromissione da far impallidire molti malware tradizionali. E proprio in questi giorni, a distanza di quattro anni, mi è capitato di averne uno tra le mani, reale, fisico, pronto all’uso, inserito in un’attività di penetration test commissionata a un team

HackSynth: il Futuro del Penetration Testing Assistito con i Large Language Model

Redazione RHC 25/02/2025

Un team di ricercatori dell’Università della California, Berkeley, e del Center for AI Safety ha sviluppato HackSynth, un sistema avanzato basato su Large Language Models (LLM) per l’automazione dei penetration test. Questa ricerca mira a colmare una lacuna critica nella cybersecurity: l’assenza di strumenti realmente autonomi ed efficaci per l’identificazione delle vulnerabilità nei sistemi informatici. Breach And Attack Simulation (BAS) ancora immaturi Attualmente, il penetration testing è un processo essenziale ma costoso e altamente specializzato. Le aziende investono risorse significative per individuare e mitigare le vulnerabilità, ma a causa dell’elevato costo e della complessità delle operazioni, il numero di test eseguibili è

Attrezzi da Hacker: Un Nuovo Cavo USB Nasconde Un Potente Strumento di Hacking con WiFi integrato

Redazione RHC 16/02/2025

Si chiama HackCable ed è un dispositivo finanziato da Kickstarter che esternamente sembra un normale cavo USB, ma al suo interno nasconde un intero arsenale di strumenti di hacking etico: iniezione di tasti, controllo Wi-Fi tramite smartphone e controllo completo del dispositivo di destinazione. Tutto questo nel formato di un comune cavo di ricarica, che non attirerà l’attenzione neanche ad un amministratore paranoico. Al giorno d’oggi, l’adattatore da USB-A a USB-C è il dispositivo più comune. Ma cosa succederebbe se questo cavo non solo potesse caricare uno smartphone o trasferire dati, ma intercettare la pressione dei tasti e, a volte, trasformarsi esso stesso

Dal gioco alla realtà: come gli hacker etici si allenano senza rischi in infrastrutture controllate

Redazione RHC 04/02/2025

Gli specialisti della sicurezza informatica non sono apprezzati per le loro conoscenze teoriche, ma per la loro capacità di applicarle nella pratica. L’esercizio in questo settore è possibile solo attraverso laboratori specializzati o mentre si è già attivi nella professione. Ecco perché stanno diventando sempre più popolari giochi e simulatori che consentono di studiare la sicurezza informatica senza infrangere la legge. La moderna sicurezza informatica si basa sull’ethical hacking, ovvero test sui sistemi per individuarne le vulnerabilità prima che un ipotetico attaccante le possa sfruttare a piacimento. Professionisti definiti white hacker, simulano attacchi sulle infrastrutture aziendali per trovare i punti deboli. Il processo

LDAPNightmare: Ora Anche Su GitHub, ma con il Bonus Infostealer!

Redazione RHC 13/01/2025

I ricercatori hanno scoperto un falso exploit per l’ultima vulnerabilità CVE-2024-49113 (nota anche come LDAPNightmare) su GitHub. L’exploit ha infettato gli utenti con un infostealer che ruba dati e li invia a un server FTP di terze parti. Gli specialisti di Trend Micro affermano che il repository dannoso apparentemente conteneva un fork di un exploit PoC legittimo per il CVE-2024-49113, creato da SafeBreach Labs e pubblicato il 1 gennaio 2025. La vulnerabilità stessa è stata risolta dagli sviluppatori Microsoft nel dicembre 2024. Il bug è correlato al protocollo LDAP (Lightweight Directory Access Protocol) di Windows ed è una delle due vulnerabilità risolte in LDAP il mese scorso (il

Minacce emergenti: L’uso improprio di strumenti di sicurezza pubblici per furti di dati

Diego Bentivoglio 08/10/2024

Nel panorama attuale della sicurezza informatica, un nuovo tipo di minaccia si sta facendo strada, sfruttando strumenti pubblici di sicurezza per raccogliere dati sensibili. Durante le mie ultime ricerche, ho scoperto come piattaforme come AlienVault OTX possano essere utilizzate da hacker per ottenere gratuitamente email e password in chiaro trapelate da recenti data breach, senza necessità di accedere al dark web. Questa vulnerabilità rappresenta una seria minaccia per gli utenti di queste piattaforme. Scenario di attacco Immaginiamo uno scenario in cui un hacker decide di sfruttare strumenti di sicurezza pubblici per effettuare un attacco contro Netflix e altre piattaforme di streaming e servizi

USB Army Knife: La Nuova Frontiera del Penetration Test Portatile

Redazione RHC 05/10/2024

All’inizio di ottobre 2024 ha avuto luogo il primo rilascio significativo del progetto USB Army Knife versione 1.0 , destinato a tester e specialisti di pentest. Il progetto, sviluppato in JavaScript e C++, è già disponibile su GitHub sotto licenza MIT, che ne consente l’utilizzo e la modifica liberamente. USB Army Knife è un software universale progettato per funzionare su dispositivi compatti come le schede ESP32-S3. Supporta un’ampia gamma di strumenti di test di sicurezza, inclusa l’emulazione di dispositivi USB e lo sfruttamento delle vulnerabilità del protocollo di rete. Le caratteristiche principali del progetto includono il supporto BadUSB, l’emulazione del dispositivo di archiviazione, l’emulazione

Categorie