Una volta che avete messo qualche barriera a livello di accesso, il passo successivo è più sottile e, in molti casi, più efficace: progettare i contenuti stessi pensando a come verranno letti dalle macchine, non solo dagli esseri umani. Qui non si tratta di “bloccare”, ma di cambiare il rapporto  costo/beneficio per chi raccoglie dati su larga scala.

Testi: chi non volete come lettore?

I modelli linguistici funzionano al meglio quando trovano testi lineari, ben strutturati, semanticamente puliti e privi di ambiguità. È esattamente il tipo di scrittura che, per anni, abbiamo cercato di ottimizzare per i motori di ricerca e per la documentazione tecnica. Oggi, però, quella stessa chiarezza è un vantaggio anche per chi addestra modelli. Un primo approccio consiste nel cosiddetto watermarking stilistico. Non parliamo di marchi visibili o avvisi legali, ma di scelte ricorrenti di stile che diventano una sorta di firma. Un certo modo di introdurre i concetti, una struttura sintattica riconoscibile, l’uso sistematico di alcune formule o transizioni. Tutti elementi che non disturbano la lettura umana, ma che rendono più facile riconoscere quel testo se riappare altrove sotto forma di output generato. Un’altra tecnica molto efficace è la pubblicazione differenziata. In pratica, si separa il contenuto indicizzabile da quello ad alto valore. La parte pubblica serve a spiegare il contesto, a far capire che quel contenuto esiste e a offrire abbastanza informazioni per orientarsi. La parte realmente preziosa, quella che contiene il know-how completo, resta accessibile solo tramite autenticazione, download on-demand o canali non direttamente crawlable. Dal punto di vista editoriale è una scelta matura, non difensiva: state decidendo consapevolmente dove termina l’informazione pubblica e dove inizia il patrimonio che volete controllare. C’è poi un aspetto più tecnico ma spesso sottovalutato: i contenuti dinamici. I crawler, umani o artificiali, preferiscono HTML statico e facilmente replicabile. Quando parti del testo vengono generate a runtime, dipendono da sessioni o da parametri contestuali, la raccolta massiva diventa più costosa e meno affidabile. Non serve trasformare tutto in un’applicazione complessa; basta rendere dinamiche le sezioni che contano davvero. Per esempio potreste fare, in PHP:

<?php
session_start();
$variants = [
“In questa sezione analizziamo il flusso completo
di inizializzazione del servizio, partendo dal bootstrap
fino alla gestione degli errori.”,
“Qui viene descritto il ciclo di inizializzazione del
servizio, dal bootstrap iniziale alla fase di gestione
delle condizioni di errore.”,
“In questo passaggio approfondiamo l’intero
processo di avvio del servizio, includendo bootstrap e
meccanismi di gestione degli errori.”
];
if (!isset($_SESSION[‘text_variant’])) {
$_SESSION[‘text_variant’] = array_rand($variants);
}
$dynamic_text = $variants[$_SESSION[‘text_variant’]];
?>

E poi ovviamente nel template:
<section class=”deep-content”>
<p><?= htmlspecialchars($dynamic_text) ?></p>
</section>
Non serve generare intere pagine dinamiche. Basta che le parti ad alto valore non siano  byteidentiche nel tempo.

Il problema dei crawler dell’IA è così significativo che ci sono servizi, come https://darkvisitors.com/, che permettono di analizzarli e tracciarli

Il codice: resistete alla tentazione

Il codice è probabilmente il tipo di contenuto più ambito dagli LLM, perché è strutturato,  verificabile e immediatamente riutilizzabile. Pubblicarlo in forma grezza e completa equivale, di fatto, a offrirlo su un piatto d’argento. E nonostante questo non vi diremo di proteggerlo. La spiegazione è semplice: la maggior parte delle strategie richiede offuscazione, riduzione della documentazione e dei commenti e minore apertura del codice stesso. Tutto, insomma, profondamente contrario ai principi Open Source. Naturalmente potete sempre evitare di condividere il vostro codice ma vale davvero la pena?

I dataset: valgono come oro

Se gestite dataset, siete nella posizione più delicata. Sono il carburante diretto dell’addestramento e, una volta persi, è impossibile recuperarne il controllo. Il primo errore da evitare è il download anonimo. Un dataset accessibile senza frizioni verrà copiato, archiviato e probabilmente riutilizzato senza che possiate nemmeno accorgervene. Introdurre una minima barriera, come la registrazione o l’accettazione esplicita dei termini, cambia in modo radicale la situazione. Non tanto perché impedisce l’abuso, ma perché rende l’uso tracciabile e giuridicamente qualificato. Un approccio ancora più efficace è evitare del tutto la distribuzione del dataset completo. In molti casi è possibile offrire accesso tramite query, API o sottoinsiemi controllati. Chi vuole davvero lavorare con quei dati può farlo, ma senza ottenere una copia completa pronta per l’addestramento indiscriminato. Infine, le clausole anti-training. Vietare esplicitamente l’uso dei dati per addestramento, finetuning
o modelli generativi non è una garanzia tecnica, ma è una dichiarazione forte. Serve a chiarire le condizioni, a rafforzare eventuali azioni future e a disincentivare l’uso opportunistico.

IMMAGINI: QUALITÀ VISIVA SÌ, QUALITÀ PER L’ADDESTRAMENTO NO

Il Glaze Project è un insieme di strumenti di ricerca sviluppati dalla University of Chicago con l’obiettivo di aiutare gli artisti a proteggere le proprie opere contro l’uso non autorizzato da parte di modelli generativi IA, in particolare contro lo scraping massivo e la style mimicry, cioè la capacità dei modelli di imitare lo stile di un artista. Glaze modifica le immagini in modo minimale e quasi impercettibile all’occhio umano, ma abbastanza diverso da far sì che un modello IA le interpreti come appartenenti a un altro stile se le include nel training. In pratica cambia la “percezione IA” senza modificare quella umana: se un AI model cerca di replicare lo stile originale, finisce con output strani o non riconducibili. Nightshade è concepito come uno strumento più aggressivo: applica perturbazioni che spingono il modello ad associare quindi l’immagine a una identità completamente diversa all’interno del processo di training. È come inserire una “poison pill” che distorce le associazioni interne del modello se quella immagine viene usata nei dati. Entrambi gli strumenti hanno lo scopo di dissuadere o disturbare l’uso non consensuale delle opere nei dataset di addestramento, ma non sono soluzioni perfette e dipendono da come evolvono i modelli IA. Siccome al momento sono solo disponibili localmente per Windows e macOS, potete chiedere l’accesso alla versione online gratuita che permette di caricare immagini attraverso il browser e ottenere l’immagine glazed.

Una strategia di lotta contro l’uso indiscriminato dei vostri contenuti visivi per l’addestramento dell’IA è data dal Glaze Project (https://glaze.cs.uchicago.edu/), che “avvelena” le immagini senza modifiche percettibili dal nostro occhio

Se gestite un sito Web e avete già dimestichezza con Linux, server e stack applicativi, la buona notizia è che qualcosa potete farla davvero. La cattiva è che nessuno di questi strumenti è una bacchetta magica. Funzionano in combinazione e soprattutto in prospettiva preventiva, non retroattiva.

Il file robots.txt

Il file robots.txt resta il primo punto di controllo. È banale da implementare, universalmente conosciuto e… facilmente ignorabile. Oggi molti crawler legati all’AI dichiarano uno user-agent specifico. Potete quindi aggiungere regole mirate come, per esempio:

User-agent: GPTBot
Disallow: /
User-agent: CCBot
Disallow: /
User-agent: /

Questo non impedisce tecnicamente l’accesso, ma stabilisce una volontà esplicita. Dal punto di vista legale e contrattuale, è un segnale importante: state dichiarando che quei contenuti non sono
concessi per quel tipo di utilizzo. Pensatelo come il cartello “proprietà privata”: non ferma un ladro determinato, ma cambia il quadro giuridico.

Meta tag e header HTTP

Oltre che con robots.txt, potete agire a livello di singola pagina usando meta tag HTML o header HTTP.

<meta name=”robots” content=”noai, noimageai”>

Oppure via header:
X-Robots-Tag: noai, noimageai

Il vantaggio è la granularità: potete escludere solo certe sezioni, certi tipi di contenuto o solo le pagine ad alto valore (articoli premium, documentazione interna pubblica, ecc.). Lo svantaggio è lo stesso di robots.txt: funzionano solo con attori che decidono di rispettarli. Ma di nuovo, il valore non è solo tecnico, è anche probatorio.

Blocco e filtraggio dei bot a livello server

Se analizzate i log (e dovreste), molti crawler IA sono riconoscibili per user-agent, pattern di richieste, frequenza e comportamento non umano. Con Nginx, Apache o a livello di reverse proxy potete bloccare user-agent noti, applicare rate limit aggressivi e servire risposte diverse (per esempio 403 o contenuti minimi).
Per esempio in Nginx:
if ($http_user_agent ~* (GPTBot|CCBot|ClaudeBot)) {
return 403;
}
Questo è un blocco reale, non una richiesta di cortesia. Attenzione però, perché gli user-agent possono essere falsificati, rischiate falsi positivi e inoltre dovete mantenere le regole aggiornate. È una misura efficace, ma va trattata come una regola firewall: monitorata, testata, rivista.

CDN e WAF: delegare la guerra sporca

Se usate una CDN (Content Delivery Network) o un Web Application Firewall, avete effettivamente un’arma in più. Molti provider permettono, infatti, di identificare bot “probabilmente non umani” e applicare quindi dei challenge (JS, CAPTCHA), bloccando così lo scraping massivo a monte. Il vantaggio è evidente: scaricate complessità su un provider e riducete il traffico indesiderato prima che tocchi il vostro server. Lo svantaggio è la perdita di controllo fine e, spesso, una certa opacità nelle decisioni automatiche. Per siti medio-grandi o con contenuti ad alto valore, però, è spesso la soluzione più pragmatica.

Autenticazione, anche leggera

Un fatto scomodo: i crawler amano i contenuti pubblici anonimi. Anche una barriera minima (login, token temporanei, sessioni, ecc.) riduce drasticamente la probabilità che un contenuto finisca in dataset di addestramento generalisti. Per esempio, potreste rendere la documentazione tecnica accessibile solo agli utenti registrati, avere articoli completi dietro paywall o login, usare API al
posto di dump statici, ecc. Non è solo una scelta di business: è una scelta di controllo della superficie di esposizione. Non potete impedire tutto, ma potete rendere costoso, tracciabile e giuridicamente contestabile l’uso dei vostri contenuti.

*Illustrazione progettata da Freepick

La sicurezza informatica è diventata una priorità concreta anche per PMI, studi professionali e realtà che non hanno un reparto IT interno strutturato. Clienti, fornitori, pagamenti, dati HR, documenti amministrativi e accessi ai gestionali sono ormai parte del patrimonio aziendale. Proteggerli significa difendere continuità operativa, reputazione e valore del business.

Il problema è che molte aziende sanno di dover intervenire, ma non sanno da dove partire. Alcune scelgono il fornitore più economico, altre quello che usa parole più tecniche, altre ancora agiscono solo dopo un attacco o una richiesta assicurativa. Un approccio più sano è diverso: capire i rischi reali, definire priorità e scegliere un partner capace di accompagnare l’azienda nel tempo.

La migliore cybersecurity non promette invulnerabilità. Promette metodo, prevenzione, capacità di risposta e miglioramento continuo.

Cosa fa davvero un’azienda di sicurezza informatica

Un fornitore di cybersecurity non dovrebbe limitarsi a installare antivirus o firewall. Il suo compito è aiutare l’azienda a capire dove si trovano i rischi, quanto sono gravi e quali interventi sono davvero utili rispetto al contesto operativo.

I servizi possono includere analisi iniziali, protezione degli endpoint, verifica delle configurazioni cloud, controllo degli accessi, backup, formazione del personale, test di vulnerabilità, monitoraggio sicurezza e supporto in caso di incidente. Un partner serio traduce ogni attività in impatto pratico: meno interruzioni, minore esposizione a frodi, maggiore controllo sugli accessi e migliore protezione dei dati aziendali.

Una buona azienda di sicurezza informatica deve quindi saper parlare sia con l’IT sia con la direzione. La parte tecnica conta, ma conta anche la capacità di spiegare perché una misura serve, quali rischi riduce e quali limiti conserva.

Quando serve un partner esterno

Un partner esterno diventa utile appena l’azienda gestisce dati sensibili, usa sistemi cloud, ha dipendenti con accessi da remoto, lavora con pagamenti digitali o dipende da software gestionali per operare ogni giorno. Non serve attendere una violazione per iniziare.

Per molte PMI, affidarsi all’esterno significa ottenere competenze che internamente non sarebbero sostenibili a tempo pieno. Scegliere un fornitore di cybersecurity permette di avere un presidio più ampio, con competenze aggiornate su minacce, strumenti, procedure e normative.

Il valore della continuità

La sicurezza non è un intervento una tantum. Cambiano i software, cambiano le persone, cambiano le abitudini di lavoro e cambiano anche le tecniche di attacco. Per questo un buon partner deve prevedere verifiche periodiche, aggiornamenti, report comprensibili e momenti di revisione. La domanda da fare non è solo “cosa installate?”, ma “come ci seguite nei prossimi mesi?”.

Criteri per scegliere bene

La prima valutazione riguarda le competenze. Certificazioni, casi reali, esperienza su aziende simili e conoscenza degli ambienti più diffusi sono segnali positivi. Tuttavia la competenza non basta se manca un metodo chiaro.

Un fornitore affidabile parte da una valutazione del contesto. Chiede quali dati trattate, quali sistemi usate, quali processi sono critici, quali persone hanno accesso alle informazioni e quali conseguenze avrebbe un blocco operativo. Da lì propone un piano sostenibile, con priorità e tempi realistici.

Metodo, trasparenza e responsabilità

La trasparenza è decisiva. Un buon partner spiega cosa è incluso, cosa non è incluso, quali attività sono continuative e quali sono straordinarie. Non usa la paura come leva commerciale, non promette protezione totale e non presenta ogni rischio come emergenza immediata.

Conta anche la capacità di documentare il lavoro. Report chiari, procedure scritte, registrazione degli interventi e tracciabilità delle decisioni aiutano l’azienda a mantenere controllo e consapevolezza. La sicurezza efficace è fatta di processi verificabili, non solo di strumenti.

Domande da fare al fornitore prima di decidere

Prima di firmare, conviene capire come il fornitore lavora davvero. Una domanda utile riguarda l’analisi iniziale: verrà fatta una valutazione dei rischi o verrà proposta subito una soluzione standard? La risposta dice molto sul livello di personalizzazione.

Occorre poi chiedere come vengono gestiti gli incidenti. Il tema dell’incident response è centrale: in caso di attacco, blocco dei sistemi, furto credenziali o ransomware, l’azienda deve sapere chi contattare, con quali tempi di risposta, quali attività vengono svolte e quali costi sono inclusi.

Altre domande riguardano il monitoraggio sicurezza, la gestione degli aggiornamenti, la formazione dei dipendenti, la sicurezza dei backup, la protezione degli account amministrativi e la produzione di report. Un fornitore serio risponde in modo concreto, senza rifugiarsi in sigle incomprensibili. La chiarezza è già una forma di affidabilità operativa.

Come valutare un preventivo e confrontare offerte diverse

Confrontare offerte di cybersecurity solo sul prezzo è rischioso, perché due preventivi possono sembrare simili ma includere attività molto diverse. Il primo elemento da verificare è l’ambito: quali sedi, dispositivi, utenti, server, ambienti cloud e applicazioni sono coperti?

Va poi controllato il livello di servizio. Un canone mensile può includere solo licenze software oppure anche monitoraggio, interventi, report, assistenza e revisione periodica. Il dettaglio cambia completamente il valore della proposta.

Prezzo, perimetro e risultati attesi

Un buon preventivo dovrebbe indicare cosa viene fatto, con quale frequenza, da chi, con quali tempi di risposta e con quali obiettivi misurabili. Non sempre l’offerta più ampia è la migliore, ma deve essere chiaro cosa l’azienda sta acquistando.

Una proposta utile distingue tra interventi urgenti, misure prioritarie e attività evolutive. Questo permette di costruire un percorso progressivo, sostenibile anche per realtà con budget limitati. La cybersecurity deve proteggere il business, non diventare un costo opaco e ingestibile.

Red flags: segnali di un fornitore poco affidabile

Un primo segnale d’allarme è la promessa di sicurezza assoluta. Nessun fornitore serio può garantire che un attacco non avverrà mai. Può però ridurre il rischio, migliorare la prevenzione e preparare una risposta efficace.

Da osservare con cautela anche chi propone soluzioni identiche per tutti, senza analisi preliminare. Ogni azienda ha dati, processi, persone e strumenti diversi. Una proposta uguale per uno studio professionale, un e-commerce e un’azienda manifatturiera difficilmente sarà adeguata.

Altri segnali critici sono preventivi vaghi, mancanza di report, tempi di risposta non definiti, linguaggio volutamente oscuro, assenza di procedure per incident response e poca attenzione alla formazione del personale. Un fornitore poco trasparente può diventare un ulteriore fattore di rischio, non una protezione. La fiducia deve basarsi su evidenze, metodo e responsabilità.

Conclusione

Scegliere un partner di cybersecurity significa scegliere qualcuno a cui affidare una parte delicata della continuità aziendale. Per questo la decisione non dovrebbe nascere dalla paura né dal solo confronto economico, ma da una valutazione equilibrata di competenze, metodo, chiarezza e capacità di supporto.

Una buona scelta parte da domande semplici: il fornitore capisce il nostro business? Sa spiegare i rischi senza creare panico? Propone priorità realistiche? Definisce processi di monitoraggio sicurezza e incident response? Produce documentazione chiara? Aiuta le persone a lavorare meglio e in modo più sicuro?

La sicurezza informatica non è un prodotto da comprare una volta per tutte. È un percorso fatto di controlli, aggiornamenti, consapevolezza e collaborazione. Il partner giusto è quello che aiuta l’azienda a crescere in maturità, proteggendo dati, infrastrutture e operatività quotidiana con un piano concreto e sostenibile.

ParrotOS è una distribuzione basata su Debian, mirata alla sicurezza informatica e ad ambienti di sviluppo orientati al testing e alla ricerca. Il progetto ha l’obiettivo di offrire un sistema operativo completo che possa funzionare sia come ambiente di lavoro quotidiano sia come laboratorio portatile per operazioni di cybersecurity, includendo attività di penetration testing, digital forensics e reverse engineering. È distribuita in diverse edizioni, pensate per esigenze differenti. La Home Edition si focalizza sull’uso quotidiano e la tutela della privacy, offrendo al tempo stesso un ambiente di lavoro adatto ad attività di analisi, scripting e sperimentazione in ambito cybersecurity; i Parrot Tools possono essere installati manualmente per costruire un ambiente di test personalizzato e più leggero. La Security edition, invece, fornisce un arsenale completo di strumenti pronti all’uso per operazioni di penetration testing e Red Team. A queste due versioni si affiancano immagini Docker preconfigurate, disponibili sia in versione Core sia Security, una edizione per Windows Subsystem for Linux compatibile con Windows 10 e 11, e il supporto per  dispositivi Raspberry Pi, con alcune raccomandazioni legate alle risorse hardware.

Il menu presenta la nuova categoria AI Tools, integrata tra gli strumenti di penetration testing, per la sicurezza dei modelli e delle tecnologie di Intelligenza Artificiale

Una release che segna una svolta

La versione 7.0, nome in codice Echo, rappresenta un passaggio importante nella storia del progetto. Lo sviluppo ha comportato una riscrittura significativa del sistema, l’adozione di KDE Plasma 6 come ambiente desktop predefinito, l’uso di Wayland e l’integrazione delle novità introdotte da Debian 13. Il rinnovamento include anche un nuovo tema
grafico e un aggiornamento esteso degli strumenti di sicurezza, con l’introduzione di una categoria dedicata all’Intelligenza Artificiale, focalizzata non sull’automazione, ma sulla sicurezza dei modelli e delle tecnologie LLM. ParrotOS rafforza, inoltre, la propria infrastruttura tecnica con build automatizzate, immagini per macchine virtuali e container, un updater riscritto in Rust con interfaccia grafica e il supporto ufficiale all’architettura RISC-V. La  nuova edizione segna quindi una svolta importante su vari fronti e offre una base di lavoro che evolve insieme al panorama della sicurezza.

L’ambiente KDE Plasma 6 con menu organizzato per categorie di sicurezza evidenzia l’integrazione nativa degli strumenti di penetration testing e analisi forense nel sistema

Umbrel Home è un dispositivo per la creazione di un “home lab”, cioè un sistema per fare esperimenti di networking, virtualizzazione, ecc. e attivare applicazioni server in locale, cioè crearsi un cloud personale e garantirsi la privacy dei propri dati invece di appoggiarsi a servizi in Rete.

Nasce per le cripto

Questo piccolo miniPC e il suo sistema operativo Umbrel OS, Open Source e basato su Linux, nascono per la creazione di un nodo Bitcoin e di altre attività legate alle criptovalute. Nel tempo, però, grazie all’uso della virtualizzazione e di Docker, l’insieme è cresciuto e ora mette a disposizione decine di applicazioni divise in categorie: File & Produttività, Bitcoin, Finanza, Media, Networking, Social, Casa & Automazione, AI, Strumenti per sviluppatori e Cripto. Ognuna contiene molte applicazioni installabili con un clic o poco più.

Il vero punto di forza di Umbrel OS è lo store da cui potete scaricare decine di programmi, ordinati in categorie, spiegati e installabili con un clic. E c’è davvero tutto quel che serve per crearsi un cloud personale. Inoltre, l’app dello store segnala anche gli aggiornamenti dei programmi installati

Lo accendi e via… per mille usi

La macchina non ha una porta HDMI o DisplayPort per collegare un monitor: tutto si gestisce via browser. Si collega il cavo di rete (poi si potrà usare il Wi-Fi al suo posto) e appena si inserisce l’alimentatore la macchina parte.  L’interfaccia Web è accessibile all’URL http://umbrel.local ed è di facile comprensione, a icone, con un aspetto gradevole e pulito. In basso nell’homepage troviamo sei icone per tornare alla home, il ricchissimo store delle app, il file manager, le impostazioni, gli strumenti di controllo delle prestazioni e quello per personalizzare l’homepage. Nel box Specifiche in questa pagina trovate tutte le caratteristiche dell’hardware che fa funzionare il sistema operativo
Umbrel OS, in versione 1.5. Il modello ricevuto in prova ha un’unità NVMe da 1 TB, ma è possibile acquistare Umbrel Home con NVMe di tagli maggiori, 2 o 4 TB e un taglio inferiore, 512 GB. Quest’ultimo ci sembra troppo poco, onestamente, se abbiamo intenzione di installare tante applicazioni (che a loro volta dovranno memorizzare dei file). La potenza espressa da questa piattaforma ci è parsa più che sufficiente per far funzionare più di un server alla volta, senza esagerare ovviamente: il tool che ci mostra la percentuale d’uso della CPU e della RAM è utile per controllare se si sta esagerando. Comunque è possibile fermare e riavviare i vari servizi installati con un clic. Abbiamo riscontrato
qualche intoppo solo con alcune app per l’IA: a volte partivano, altre no, altre ancora rispondevano solo dopo un po’ di tempo dal loro avvio. Dopo un reset totale, invece, tutto ha funzionato a dovere. Ci siamo trovati bene anche con le app di produttività come LibreOffice e OwnCloud (app per la creazione di uno storage cloud personale) così come abbiamo trovato utili quelle per la gestione delle finanze personali, Home Assistant per la casa domotica e Plex peri il media center. Immancabile l’uso di Pi-Hole per bloccare le pubblicità invasive.

SPECIFICHE
CPU: Intel N150 (Quad-Core, 3,6 GHz)
RAM: 16 GB DDR5
Storage: 1 TB NVMe SSD
Porte: 3 USB 3.0, 1 Gigabit Ethernet
Connessioni: Wi-Fi 6, Bluetooth 5.1
Sistema operativo: umbrelOS

Sito Internet: https://umbrel.com/

Quanto costa: € 349

ATTENZIONE!!!
Sebbene il sito analizzato operi entro i confini della legalità, aggregando informazioni da fonti pubblicamente accessibili, la sua capacità di ricostruire profili dettagliati – spesso comprensivi di e-mail personali e numeri di telefono – solleva interrogativi etici. Per questo motivo, abbiamo deciso di non rivelarne il nome. Non vogliamo contribuire alla diffusione di uno strumento che, seppur legittimo, può essere sfruttato per scopi invasivi o persino malevoli. Come sempre la nostra scelta non è dettata dalla censura, ma dalla responsabilità.

Durante le nostre quotidiane ricerche, abbiamo scoperto un sito, o meglio un portale, che dichiara di essere un  motore di ricerca dedicato al recruiter, ma che – sinceramente – ci è sembrato tutt’altro. Può infatti essere adoperato per ben altri scopi… Ma procediamo per gradi. Il sito in questione è, a tutti gli effetti, uno strumento potentissimo che permette di entrare in contatto con persone in tutto il mondo, spesso superando barriere che fino a pochi anni fa sembravano invalicabili. Il portale, attraverso il suo motore interno, consente di scandagliare una base dati di  centinaia di milioni di profili, sfruttando criteri avanzati e una struttura che affonda le radici nella precisione algoritmica e nella capacità di lettura semantica. Stiamo parlando della possibilità offerta di ricercare i contatti diretti di milioni di persone, numero di telefono, personale compreso, semplicemente digitando un nome, un ruolo o anche una parola chiave. Il sistema restituisce risultati che includono indirizzi e-mail verificati, numeri di telefono, social collegati e la storia lavorativa della persona. E la cosa più sorprendente è che non si tratta solo di profili generici o sconosciuti: permette di rintracciare figure di alto profilo, VIP, amministratori delegati, giornalisti, dirigenti pubblici e persino politici, inclusi nomi italiani noti al grande pubblico.

L’home page si presenta priva di fronzoli e facile da utilizzare, come un classico motore di ricerca.

BASTA DAVVERO POCO

Non è necessario, dunque, avventurarsi nel Deep Web o nel Dark Web, né spendere cifre esorbitanti per acquistare  pacchetti illegali di dati. Tutto ciò che serve è un account, un minimo di intuito e la giusta combinazione di filtri. È sufficiente inserire il nome di una persona, o persino solo il nome dell’azienda per cui lavora, per accedere a un elenco di risultati che comprendono dati estremamente sensibili, raccolti attraverso fonti pubbliche, API  professionali, combinazioni di crawler e sistemi di verifica automatica. Nessuna violazione apparente, tutto avviene  nel rispetto formale delle policy e delle condizioni d’uso dei servizi consultati, ma il risultato è un’aggregazione spaventosa per dettaglio e precisione. La piattaforma incrocia queste informazioni con LinkedIn, GitHub e altre fonti  online per ricostruire profili completi, talvolta più completi di quanto gli stessi interessati possano immaginare. Nome, cognome, posizione attuale, precedenti impieghi, skills, progetti pubblici, persino e-mail personali e numeri di telefono: ogni frammento viene recuperato, interpretato e collocato nel punto esatto della mappa digitale che rappresenta l’identità professionale (e talvolta privata) di un individuo. Una volta trovata una persona, basta un clic del mouse per salvare il contatto nella propria dashboard. Da lì, è possibile annotare osservazioni, categorizzare il profilo secondo logiche di interesse, esportare i dati in fogli di calcolo o CRM, o persino avviare una campagna di e-mail dirette, sfruttando template o strategie personalizzate. Il tutto con una estrema semplicità.

Cercando il nome “Bill Gates”, la piattaforma restituisce dei profili completi di e-mail, numero di telefono e dettagli lavorativi, dimostrando l’estrema accessibilità di dati sensibili anche per figure di alto profilo.

ADDIO PRIVACY

Il sito è una finestra su una parte nascosta di Internet, che però non è affatto nascosta, anzi: è alla luce del sole,  elegante, ordinata e legalmente disponibile con un abbonamento. Certo, l’utilizzo di questo tipo di strumento solleva domande etiche. Per quanto si basi su dati pubblici o semi-pubblici e non promuova usi illeciti delle informazioni, la facilità con cui si possono ottenere numeri di cellulare, e-mail personali e dettagli sensibili di figure pubbliche o  private fa riflettere su quanto fragile sia ormai il confine tra “profilo professionale” e “sfera privata”. Anche un  parlamentare, un magistrato, un imprenditore, può trovarsi a ricevere una chiamata non desiderata, semplicemente perché il suo nome è stato inserito nella barra di ricerca giusta. Tutto questo si svolge all’interno di un’interfaccia  semplice, accessibile da browser e facilmente integrabile tramite estensioni per Chrome. È qui che il portale rivela la sua natura ambivalente: da un lato, un alleato insostituibile per chi lavora con la rete e ha bisogno di scalare il  processo di contatto umano; dall’altro, un osservatorio che espone quanto sia sottile la linea tra trasparenza e violazione. Eppure, per chi sa usarlo con consapevolezza, rispetto e competenza, può essere una risorsa eccezionale. È come un set di chiavi passepartout per entrare, virtualmente, negli uffici e nei telefoni dei decisori, dei candidati e degli influencer professionali che contano davvero. Un mondo in cui non conta più quanto sia riservato un profilo  LinkedIn, ma quanto bene qualcuno sappia interrogare un database come questo. E dove la differenza non la fa ciò che si è scelto di condividere, ma ciò che qualcun altro è riuscito a scoprire.

Il piano Free del sito consente di visualizzare 5 numeri e 5 indirizzi e-mail e di fare 5 esportazioni al giorno. Per gli altri abbonamenti è necessario spendere qualche decina di euro al mese.

TRA LEGALITÀ E SORVEGLIANZA

L’utilizzo di strumenti come questo sito, per quanto apparentemente innocuo e tecnicamente legale, solleva interrogativi sempre più urgenti in materia di privacy, diritti digitali e tutela dei dati personali. Il Regolamento  Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea stabilisce chiaramente che ogni trattamento di dati personali deve avvenire con il consenso esplicito dell’interessato, oppure deve essere giustificato da un legittimo interesse, purché non invada i diritti fondamentali della persona. Il portale afferma di raccogliere solo dati accessibili al pubblico, spesso già visibili su LinkedIn o GitHub, e quindi – in senso stretto – non violerebbe direttamente il GDPR. Tuttavia, l’uso massivo e automatizzato di queste informazioni per costruire banche dati accessibili a chiunque paghi l’abbonamento, avvicina pericolosamente il sistema a una zona grigia legale. Molti esperti di privacy sostengono che la raccolta passiva e silente di numeri di cellulare personali, anche se tecnicamente reperibili, non corrisponda al principio di minimizzazione dei dati sancito dal regolamento europeo. Il rischio è che la legittimità  tecnica mascheri una forma di sorveglianza soft, in cui nessuno viene spiato con malware o trojan, ma tutti possono essere profilati, contattati, influenzati, anche senza saperlo. E qui nasce la vera domanda provocatoria: abbiamo  davvero bisogno di hacker, quando basta un recruiter con un abbonamento premium? In un’epoca in cui la  reputazione digitale si difende a fatica e i confini della vita privata vengono costantemente erosi, strumenti come  questo mettono in mano a professionisti comuni un potere che fino a poco tempo fa era riservato ai servizi segreti, agli investigatori privati o alle aziende di intelligence commerciale. Il tutto con un’interfaccia semplice, un pulsante Esporta CSV e, a volte, un clic di troppo. Legalmente, siamo ancora dentro i margini. Eticamente, siamo già oltre.

È anche disponibile un’estensione per Google Chrome. Una volta che vi siete collegati su un social, tipo LinkedIn, si apre automaticamente e consente di ricercare i contatti del profilo visualizzato.

Leggi anche: “I bot diventano sofisticati”

*Illustrazione progettata da Freepik

In questo articolo esploreremo un aspetto spesso sottovalutato della sicurezza informatica: la possibilità di superare completamente i controlli di autenticazione di un sistema Linux, se si dispone dell’accesso fisico al disco o a un’immagine dello stesso. Grazie a QEMU/KVM, vedremo come creare una macchina virtuale che ci permetterà di riprodurre l’ambiente di un sistema Debian, per poi dimostrare come aggirare la protezione della password di root e di un qualsiasi utente sfruttando un semplice attacco offline. Ma procediamo per gradi…

L’ATTACCO

Nonostante il suo carattere formativo, questo attacco mostra un rischio concreto: un malintenzionato che si imbatta in un computer smarrito o incustodito potrebbe facilmente estrarre il disco o copiarne l’immagine per manipolare i file di sistema e ottenere così l’accesso completo alla macchina. Questa tecnica non si limita a ottenere i privilegi di amministratore, può anche forzare l’account di un utente normale, aprendo di fatto le porte dell’intero dispositivo. In questo articolo illustreremo i passaggi fondamentali per condurre l’offensiva e, parallelamente, spiegheremo le  principali contromisure di sicurezza – come la cifratura del disco – indispensabili per scongiurare intrusioni di questo tipo. Iniziamo!

Debian è una delle principali “distro madre” del mondo GNU/Linux: la sua linea temporale risale agli anni ’90 e da essa derivano numerose distribuzioni popolari come Ubuntu e Linux Mint.

L’AMBIENTE DI LAVORO

Per iniziare, è essenziale configurare una macchina virtuale per simulare un ambiente il più possibile vicino a uno scenario reale. Sebbene gli ambienti virtualizzati possano differire dai sistemi fisici, in questo caso le differenze non influiscono in modo significativo, monteremo infatti la memoria virtuale come se fosse un dispositivo di archiviazione esterno. In questo modo, la procedura risulta applicabile anche in caso di dischi rigidi estratti dal computer o di dischi fissi saldati alla scheda madre, accedendo tramite USB in modalità live. Dopo aver scaricato l’ultima versione di Debian dal sito ufficiale  siamo pronti per configurare la macchina virtuale. Abbiamo scelto Debian perché, essendo la distribuzione “madre” di molte altre varianti, offre un’ampia compatibilità e una base stabile, mentre le differenze rispetto alle “derivate” sono perlopiù limitate ai file di configurazione. Una volta ottenuta l’immagine ISO, procediamo all’installazione di Virtual Machine Manager eseguendo i comandi seguenti:

sudo apt update
sudo apt install virt-manager

Completata l’installazione, avviamo il programma: è sufficiente fare clic sull’icona del monitor in alto a sinistra e seguire la procedura guidata per la creazione di una nuova macchina virtuale. Selezioniamo Supporto d’installazione locale (immagine ISO o CD-ROM), scegliamo la ISO scaricata precedentemente, assegniamo memoria e CPU (consigliato un minimo di 4096 MB di RAM e 4 CPU) e, per finire, configuriamo la quantità di spazio su disco, consigliando almeno 20 GB. Si prosegue con la normale configurazione della macchina virtuale fino all’ultimo passaggio, in cui occorre selezionare la voce Personalizza la configurazione prima di installare. Andando avanti, viene mostrato un pannello di configurazione che permette di modificare l’impostazione del Firmware da BIOS a UEFI, in alcuni casi necessaria per avviare correttamente la macchina. A questo punto, selezioniamo Apply e avviamo l’installazione attraverso il pulsante in alto a sinistra, completando la procedura come di consueto.

Virtual Machine Manager (spesso abbreviato in virt-manager) è un’interfaccia grafica che semplifica la creazione, la configurazione e la gestione di macchine virtuali su sistemi Linux. Sfrutta tecnologie di virtualizzazione come KVM, QEMU e Xen, fornendo strumenti intuitivi per avviare, arrestare e monitorare le istanze virtuali, oltre che per configurare risorse hardware e impostazioni di rete.

PREPARAZIONE DELL’ATTACCO

Terminata l’installazione, avviamo la macchina virtuale selezionandola e facendo clic sull’icona Play. Per verificarne il corretto funzionamento, eseguiamo il comando su e inseriamo la password impostata in precedenza: se l’accesso come utente root va a buon fine, si può procedere a spegnere la macchina. A questo punto, per simulare la situazione di un computer smarrito o lasciato incustodito, passiamo al montaggio dell’immagine del disco come se fosse una  memoria esterna (per esempio una chiavetta USB o una memory card) e ne esploreremo il file system, in modo da  apportare le modifiche necessarie a completare l’attacco. Uno dei vantaggi (o svantaggi, a seconda dei punti di vista)  di un ambiente virtualizzato è la possibilità di accedere direttamente all’immagine del disco senza dover avviare il sistema operativo. Per farlo, ci si affida a guestmount, uno strumento incluso nella suite libguestfs-tools che permette di montare un file immagine (per esempio, in formato qcow2) su una directory del sistema host. In questo modo, si può intervenire in modo trasparente sui file di sistema, esattamente come se si stesse lavorando su un disco fisico collegato via USB. Per prima cosa, è necessario installare i tool necessari:

sudo apt update
sudo apt install libguestfs-tools

Questi pacchetti, disponibili in molte distribuzioni GNU/Linux (come Debian o Ubuntu), mettono a disposizione le  utility di base per interagire con i dischi virtuali. Successivamente, identifichiamo la partizione principale. A tal scopo, apriamo le impostazioni della MV, ovvero cliccando sul pulsante in blu con la i e, alla voce Disco VirtIO 1, annotiamo il percorso del disco, per esempio /var/lib/libvirt/images/debian12.qcow2. Tornati sul terminale,  eseguiamo il comando seguente:

sudo guestfish –ro -a /var/
lib/libvirt/images/debian12.
qcow2 run : list-filesystems

sostituendo il percorso appena trovato. In questo modo, verrà mostrata la struttura della partizione della macchina virtuale:

/dev/sda1: vfat
/dev/sda2: ext4
/dev/sda3: swap

Dopo aver identificato il percorso della partizione ext4, nell’esempio /dev/sda2, creiamo una cartella di montaggio  (per esempio /tmp/mnt_vm) e usando il comando guestmount -a /var/lib/libvirt/images/debian12.qcow2 -m /dev/sda2 /tmp/mnt_vm, ricordandoci di sostituire opportunamente il percorso fino al file qcow2, la partizione di root e la cartella temporanea appena creata.

SHA-512 è un algoritmo di hashing che processa i dati e applica operazioni matematiche complesse e costanti predefinite per produrre un hash di 512 bit, rappresentato da 128 caratteri esadecimali.

Così facendo, il contenuto del filesystem si rende immediatamente visibile all’interno di /tmp/mnt_vm, permettendo una navigazione libera tra le directory classiche di un sistema Debian (tra cui etc, usr, var e così via). Una volta che la struttura di Debian sarà accessibile dalla cartella di montaggio, possiamo modificare liberamente i file altrimenti inaccessibili dall’esterno. Un esempio tipico è la sovrascrittura della password di root. In Debian, come in molte altre distribuzioni GNU/Linux, le password sono memorizzate in forma di hash nel file /etc/shadow. Navighiamo nella directory /tmp/mnt_vm/etc, dove troviamo appunto il file shadow, e generiamo un nuovo hash di password, tramite il comando mkpasswd -m sha-512. Infine, immettendo la password desiderata, otteniamo un hash compatibile con gli standard di Debian. A questo punto, apriamo shadow in un editor di testo, cerchiamo la riga con root e sostituiamo l’hash esistente, situato tra il primo e il secondo : con quello appena creato da mkpasswd, per esempio:

root:$6$IL_VOSTRO_NUOVO_
HASH:19000:0:99999:7:: :.

Salviamo il file e smontiamo l’immagine con guestunmount /tmp/mnt_vm. Quando riavviamo la macchina, Debian rileverà la modifica a shadow e la vecchia password di root verrà sostituita con quella inserita durante la procedura offline. In altre parole, bastano pochi passaggi per acquisire il controllo di un sistema Debian se abbiamo la possibilità di manipolarne il disco. Per la prova del nove, riavviamo la macchina virtuale e proviamo a ottenere i permessi di root con il comando su prima inserendo la vecchia password e poi quella nuova: constaterete subito che l’aggiornamento è andato a buon fine. Il punto focale di questa trattazione non è screditare Debian, bensì evidenziare due aspetti fondamentali. In primo luogo, un sistema GNU/Linux non può opporsi a un attacco in cui l’avversario ha
accesso fisico al disco; in secondo luogo, l’idea secondo cui “basta avere una password robusta per stare al sicuro” è in parte fuorviante, poiché agire a basso livello sui file di sistema permette di aggirare anche le protezioni più solide.

Nel file /etc/shadow i campi sono separati da due punti e contengono informazioni cruciali per la sicurezza degli account.

DIFENDERSI!

Quando si utilizza la cifratura a livello di disco, viene impedito di fatto l’accesso ai file se non si dispone della passphrase o della chiave di decifratura. Ciò significa che, anche se un aggressore si impadronisce dell’hardware, non
potrà montare il filesystem per modificarlo o esaminarne i contenuti. Nello scenario che abbiamo delineato, questo  blocco renderebbe vani i tentativi di sostituire la password di root. La difesa risulterebbe così molto più solida perché l’avversario si ritroverebbe davanti a dati cifrati, il cui contenuto rimane impenetrabile senza le credenziali di sblocco. L’implementazione di un sistema di cifratura integrale è oggi piuttosto semplice: Debian, già durante il processo di installazione, offre la possibilità di cifrare il disco con LUKS. In alternativa, esistono soluzioni come VeraCrypt per la creazione di volumi cifrati separati, oppure sistemi che coinvolgono moduli hardware, come il TPM (Trusted Platform Module), in grado di conservare le chiavi di cifratura all’interno del dispositivo stesso. Scegliere di studiare e comprendere queste tecniche non significa promuoverne un uso illecito, ma piuttosto riconoscere la realtà di un mondo in cui la sicurezza va guadagnata giorno dopo giorno.

Trovi il codice su: https://short.tips/url/codici3841

Leggi anche: “L’invasione delle segnalazioni alle repo“