Cybersecurity & Cybercrime

La caccia a Dread Pirate Roberts entra nella sua fase decisiva.In questo episodio riprendiamo la storia di Silk Road dal punto in cui l’illusione dell’anonimato inizia a crollare: agenti sotto copertura, identità multiple, corruzione interna alle task force federali, furti in Bitcoin e investigatori che iniziano a capire una cosa fondamentale: la blockchain non cancella le tracce, le conserva.Un episodio su investigazioni digitali, Bitcoin forensic, dark web e sul momento in cui Silk Road smette di essere invisibile.

Silk Road non è solo la storia di un marketplace illegale nel dark web. È il momento in cui Tor, Bitcoin e ideologia libertaria si incontrano, creando l’illusione che anonimato di rete e pseudonimia finanziaria potessero rendere invisibili.In questo episodio raccontiamo Ross Ulbricht, la nascita di Silk Road e il mito di Dread Pirate Roberts, fino ai primi segnali di frattura di un sistema che sembrava progettato per sfuggire al controllo.Una puntata CyberHistory su dark web, blockchain, anonimato e cybercrime.

In questo episodio di Cybersecurity & Cybercrime entriamo nella CyberHistory e torniamo al momento in cui tutto è iniziato: la nascita di Bitcoin.Dopo aver analizzato i meccanismi tecnici della blockchain negli episodi precedenti, ricostruiamo il contesto storico, economico e tecnologico che ha portato alla creazione della prima criptovaluta.Cosa è successo davvero nel 2008?Perché nasce Bitcoin?E chi è — o chi era — Satoshi Nakamoto?Partiamo dalla crisi finanziaria globale, dal crollo della fiducia nei sistemi centralizzati, e dai primi tentativi di moneta digitale come DigiCash, Hashcash, b-money e bit gold.Arriviamo poi al momento chiave:la pubblicazione del whitepaper “Bitcoin: A Peer-to-Peer Electronic Cash System”.Analizziamo cosa introduce davvero Bitcoin e perché, per la prima volta, il problema della doppia spesa viene risolto senza un’autorità centrale.In questo episodio vedremo:– Il contesto della crisi del 2008 e la rottura della fiducia– I precursori di Bitcoin e perché non hanno funzionato– Il whitepaper di Satoshi Nakamoto– Il blocco genesi e il messaggio nascosto nel primo blocco– I primi bitcoin e perché quelli iniziali non sono spendibili– Chi è Satoshi Nakamoto e il mistero della sua identità– I primi attori della rete: Hal Finney, Gavin Andresen, Laszlo Hanyecz– La prima transazione reale: le famose 10.000 BTC per due pizzeUn episodio fondamentale per capire non solo come nasce Bitcoin, ma perché nasce.Perché Bitcoin non è solo una tecnologia.È una risposta.

In questo episodio di Cybersecurity & Cybercrime analizziamo in profondità il Proof of Stake, uno dei meccanismi di consenso più utilizzati nelle blockchain moderne.Dopo aver visto il Proof of Work negli episodi precedenti, entriamo nel dettaglio di un modello completamente diverso, in cui la sicurezza non è più legata alla potenza computazionale… ma al capitale.Come funziona davvero il Proof of Stake?Cosa succede tecnicamente quando un validatore partecipa al consenso?E soprattutto: è davvero più sicuro?In questo episodio analizziamo:– Il funzionamento operativo del Proof of Stake– Il ruolo dello stake e dei validatori– Il meccanismo di slashing e la sicurezza economica– La randomizzazione nella selezione dei validatori– I principali attacchi: Nothing at Stake, Long Range Attack– Il problema della centralizzazione dello stake– I trade-off rispetto al Proof of WorkVedremo come, nel Proof of Stake, la sicurezza diventa una funzione degli incentivi economici e di come questi possono essere sfruttati o difesi.Analizziamo il sistema sia dal punto di vista offensivo — cosa può fare un attaccante — sia da quello difensivo — quali sono le contromisure implementate nei protocolli moderni.

Attacco del 51%: cosa succede se qualcuno controlla la maggioranza dell'hashrate. Double spend e censura: cosa permette davvero e cosa no. I casi reali di Ethereum Classic e Bitcoin Gold. Poi ASIC, mining pool e la centralizzazione economica che nessuno vuole nominare.

Proof of Work: come il mining trasforma energia in sicurezza. Cos'è il nonce, il target e il difficulty adjustment. Block reward, halving, fee e satoshi. E il consumo energetico di Bitcoin: perché PoW non è uno spreco casuale, ma un modello di sicurezza basato sul costo.

Blockchain: come si raggiunge il consenso in una rete senza autorità centrale? Fork naturali, problema dei generali bizantini, differenza tra validità e finalità. E perché in una rete aperta non puoi contare i nodi: l'attacco Sybil e il ruolo delle risorse scarse.

La blockchain è davvero immutabile? Sì… ma in senso statistico, non magico. Vediamo come funzionano hash, concatenazione dei blocchi e perché riscrivere la storia diventa sempre più costoso.Poi due casi reali: il bug di Bitcoin del 2010 (overflow e monete create dal nulla) e il DAO hack su Ethereum, con la frattura tra “code is law” e recovery. Qui capisci cosa significa davvero “immutabilità”.

Cos’è davvero la blockchain? Non la definizione da slide: il problema reale è la fiducia in un sistema digitale dove tutto è copiabile. In questo episodio spieghiamo doppia spesa, intermediario come punto di potere, single point of failure e perché una rete permissionless non può basarsi sulle identità (attacco Sybil).È il punto di partenza del “Viaggio al centro della Blockchain”.

Nel secondo capitolo delle Crypto Wars analizziamo l’indagine federale contro Phil Zimmermann, il caso PGP e il tentativo del governo USA di controllare l’esportazione della crittografia classificandola come munizione. Parliamo del Clipper Chip, delle backdoor governative, della Electronic Frontier Foundation, del caso Bernstein v. United States e della battaglia legale che ha portato a riconoscere il codice come forma di espressione protetta. È la storia di come la crittografia sia passata da tecnologia militare a infrastruttura civile globale.

Negli anni ’90 la crittografia smette di essere solo matematica e diventa una questione politica globale. In questo episodio di CyberHistory entriamo nelle Crypto Wars, il conflitto tra governo degli Stati Uniti e comunità tecnologica sul diritto alla privacy digitale. Parliamo di PGP (Pretty Good Privacy), di Phil Zimmermann, del Senate Bill S.266, del Clipper Chip e del tentativo di introdurre backdoor governative nei sistemi di cifratura. È la storia di come la crittografia sia diventata un atto di resistenza civile e di come la privacy sia entrata definitivamente nel dibattito pubblico.

Clop ha fatto una scelta radicale: niente più cifratura, solo esfiltrazione. Attaccando MoveIt, Accellion e Cleo ha colpito migliaia di organizzazioni globali. Un nuovo modello criminale.

Clop nasce dall'ecosistema di TA505 e FIN11 e diventa uno degli attori più sofisticati della scena ransomware. Le origini, l'evoluzione tecnica e l'adozione della doppia estorsione.

ContiLeaks: la fuga di notizie interna che ha smascherato persone, processi e vulnerabilità del gruppo. Come si è disgregata la gang e quali nuovi gruppi criminali ne sono nati.

Come entrava Conti nelle reti delle vittime? Email trappola, malware, movimento laterale e doppia estorsione. Le fasi operative di uno degli attacchi ransomware più sofisticati mai documentati.

Conti non era solo una gang ransomware: era un'azienda criminale con stipendi, gerarchie e manuali operativi. La storia del gruppo che ha paralizzato ospedali e governi in tutto il mondo.

FraudGPT e Xantorox AI: i nuovi LLM malevoli che stanno ridefinendo le minacce informatiche. Scoperti nel 2023 e 2025, mostrano come l'AI stia diventando l'arma preferita del cybercrime.

I MALA, Malicious LLM Applications, automatizzano il cybercrime con una precisione mai vista prima. WormGPT è il primo esempio: un LLM senza filtri etici venduto nel dark web.

Un'AI che funziona perfettamente finché non riceve un segnale segreto. Il backdoor attack impianta un comportamento nascosto nel modello, attivabile solo con un trigger specifico.

Cambiare le etichette di pochi dati di training basta a sabotare un modello AI. Come funziona il label flipping e perché è un attacco particolarmente difficile da individuare e correggere.

I filtri antispam bayesiani possono essere avvelenati con tecniche precise. Come funziona il Bayesian poisoning e perché è uno degli attacchi più subdoli all'intelligenza artificiale.

Il data poisoning avvelena il dataset di addestramento per alterare il comportamento del modello. Il caso Tay di Microsoft mostra quanto può essere devastante lasciare un'AI senza filtri.

Supervisionato, non supervisionato, con rinforzo: come un modello AI apprende dai dati. Una puntata fondamentale per capire gli attacchi al training che vedremo nelle prossime.

modelli AI hanno barriere di sicurezza. Il jailbreaking le aggira con tecniche sottili: riformulazioni, roleplay, scenari accademici. Come funziona e perché è così difficile da prevenire.

La prompt injection manipola l'input di un LLM per fargli fare cose che non dovrebbe. Cos'è l'adversarial machine learning e perché questa vulnerabilità è difficile da correggere.

Comunicare bene con un'AI è un'arte. Il prompt engineering applicato alla cybersecurity: come costruire istruzioni precise per threat detection, analisi incidenti e molto altro.

Cosa sono i Transformer, come gestiscono le allucinazioni e cosa significa "temperatura" in un LLM. Le basi della tecnologia GPT spiegate per chi vuole capire davvero come funziona l'AI.

Joybubbles e Captain Crunch: due leggende del phreaking anni '70. Le loro storie, le tecniche, e come le loro scoperte hanno gettato le basi della cultura hacker che conosciamo oggi.

Negli anni '70, prima degli hacker c'erano i phreaker: ragazzi capaci di manipolare le reti telefoniche con un fischietto da cereali. La storia dei precursori del cybercrime moderno.

Il report Imperva sulla prima metà del 2024 mostra attacchi più numerosi, più sofisticati e più devastanti. Quali settori sono stati colpiti di più e come stanno evolvendo le minacce.

Come si riconosce un attacco DDoS in corso e come lo si ferma? Rate limiting, anycast, scrubbing center: le tecniche di mitigazione spiegate in modo chiaro e operativo.

Gli attacchi applicativi colpiscono a livello HTTP simulando utenti reali. Sono i più difficili da distinguere dal traffico legittimo e i più devastanti per chi eroga servizi online.

Non saturano la banda ma esauriscono la capacità del server di gestire connessioni. Come funziona il SYN flood e perché questi attacchi sono particolarmente insidiosi da rilevare.

Gli attacchi volumetrici sommergono la vittima con traffico massiccio fino a saturare tutta la banda disponibile. Come funzionano le tecniche di amplificazione e reflection nel dettaglio.

Immagina un negozio bloccato da una folla infinita che impedisce l'ingresso a tutti. Questo è un DDoS nel mondo digitale. Come funziona, come si è evoluto e perché colpisce tutti.

I cybercriminali prendono il controllo dello schermo del tuo telefono in tempo reale e operano sulle app bancarie mentre guardi. Come funziona lo screen sharing abuse e come proteggersi.

TOAD combina malware e telefonate per ingannare le vittime. Il malware Capibara ne è l'esempio più recente. Come funziona questo attacco ibrido tra smishing, vishing e trojan bancario.

I trojan bancari su Android usano l'Automated Transfer System per svuotare i conti senza che la vittima se ne accorga. Come funziona questa tecnica e perché è così difficile da bloccare.

Obbligatorietà, scarsità, prova sociale, coerenza: gli ultimi 4 principi del social engineering secondo Hadnagy. Come vengono usati negli attacchi reali e come difendersi.

Fiducia, autorità, reciprocità: gli ingegneri sociali sfruttano meccanismi profondi della natura umana. I primi 4 principi di Chris Hadnagy da Human Hacking spiegati con esempi reali.

In questo episodio continua l'intervista con l'Ing. Filippo Sitzia di Senior Solutions Architect di Trellix

Con Filippo Sizia di Trellix: perché per difendersi bisogna conoscere se stessi e il nemico. Come si costruisce una strategia di CTI e cosa significa davvero applicarla in azienda.

Firewall e antivirus non bastano se un dipendente apre la porta agli attaccanti. Il social engineering sfrutta la psicologia umana. Come funziona il framework che mappa questi attacchi.

23 dicembre 2015, ore 15:30: in una centrale ucraina il mouse si muove da solo e i circuit breaker si disattivano uno a uno. Il primo blackout della storia causato da un cyberattacco.

BlackEnergy nasce nel 2007 come toolkit per attacchi DDoS. Nel tempo si trasforma in un'arma nelle mani di un gruppo statale russo. La storia del malware che ha spento l'Ucraina.

AgentTesla è il malware più diffuso in Italia nel 2023: ruba credenziali, registra i tasti, svuota gli appunti. SpyNote colpisce Android. Due strumenti pericolosi analizzati nel dettaglio.

Il report CERT-AGID fotografa un anno di attacchi in Italia: quali malware hanno dominato, quali settori sono stati colpiti e quali strumenti i criminali hanno usato di più.

Stuxnet non rubava dati: sabotava fisicamente le centrifughe iraniane facendole girare fuori controllo. Il primo cyberweapon capace di causare danni nel mondo fisico reale.

Per capire Stuxnet bisogna partire da uno scienziato pakistano che rubò piani di centrifughe nucleari. Una storia di spionaggio, geopolitica e cyberwarfare che ha cambiato tutto.

Furtività, persistenza, obiettivi mirati. I gruppi APT entrano nelle reti e ci restano. Quali tecniche usano per infiltrarsi, raccogliere dati e condurre operazioni di spionaggio digitale.