7 aprile 2026 · 10 min lettura
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Self-HostingLa cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Il tuo SSH è sotto attacco adesso. Non "potrebbe essere". Adesso, mentre leggi. In media 26 compromissioni al giorno per ogni honeypot SSH esposto, secondo i dati di Palo Alto Networks Unit42 su 320 honeypot monitorati. E intanto tu sei convinto che il tuo homelab sia più sicuro degli Uffizi.
Non lo è.
Conosco il ragionamento. L'ho fatto anch'io. "Ho pfSense, ho Proxmox, ho i container isolati, tanto chi vuoi che attacchi un homelab in un appartamento di Milano." I thread di r/homelab sono pieni di questa narrazione: siamo hobbyisti consapevoli, non la PA italiana che gira Windows XP su macchine del 2008.
Gli Uffizi la pensavano esattamente così.
Il museo aveva un firewall. Aveva sistemi separati per la sicurezza fisica. Aveva una struttura IT con decine di macchine e sottoreti. Non era una startup fatta da tre persone con un PC condiviso — era una delle istituzioni culturali più visitate al mondo, con budget dedicato alla digitalizzazione. Eppure tra fine gennaio e inizio febbraio 2026 si sono ritrovati con circa 20 macchine compromesse, una richiesta di riscatto da €300.000 direttamente nella casella email del direttore Simone Verde, e un'ala di Palazzo Pitti chiusa al pubblico per precauzione.
Il vettore d'attacco? Un software obsoleto per la gestione delle immagini a bassa risoluzione del sito istituzionale. Letteralmente, come l'ha definita la stampa: "una porta così piccola che nessuno aveva pensato di chiuderla."
Il malware identificato è BabLock, alias Rorschach — la stessa famiglia che nello stesso periodo ha colpito La Sapienza di Roma con una richiesta da $1 milione in bitcoin e una deadline di 72 ore. BabLock non è uno script kiddie tool: usa DLL side-loading per eludere gli antivirus, sfrutta i Group Policy Object per la diffusione domain-wide, e cifra 220.000 file su un singolo disco in circa 4 minuti e 30 secondi — il doppio più veloce di LockBit v3. Non hai tempo di reagire una volta che parte.
Ma il dettaglio che dovrebbe farti riflettere non è la velocità. È il silenzio che viene prima.
L'infiltrazione iniziale agli Uffizi è iniziata mesi prima dell'esplosione dell'attacco a fine gennaio 2026. Un'analisi forense ha documentato una lunga presenza silenziosa nella rete prima che il ransomware si attivasse. Il dato IBM 2025 sul tempo medio per identificare un breach — 158 giorni — impallidisce in confronto. E il dato successivo è ancora peggiore: più della metà delle aziende attaccate da ransomware nel 2025 ha perso accesso ai propri backup durante l'incidente (Sophos State of Ransomware 2025). Non dopo. Durante. Perché il ransomware aveva già compromesso i backup prima di rivelare la propria presenza.
Sull'entità del danno ci sono versioni discordanti: il Corriere della Sera e Il Fatto Quotidiano riportano l'esfiltrazione di piani di sicurezza, codici allarmi, database digitalizzato delle opere. Il museo nega furto di dati sensibili e afferma che i sistemi di sicurezza fisica sono "a circuito chiuso interno e non aperti all'esterno". L'ACN e la Polizia Postale stanno ancora indagando — nessuna conclusione pubblica. Ma indipendentemente da chi ha ragione sull'entità: il ransomware c'era, le macchine erano compromesse, la rete era piatta. Questo non è in discussione.
Questa è la sezione che conta. Non per empatizzare con una PA sotto-finanziata, ma perché questi quattro errori non costano niente da evitare — eppure sono esattamente quelli che trovi in quasi ogni homelab non curato. Il parallelo è imbarazzante nella sua precisione.
La rete degli Uffizi era piatta: sistemi amministrativi, archivio digitale, ticketing, sistemi degli edifici collegati — sullo stesso dominio, con lo stesso raggio d'azione. Quando il ransomware ha trovato un accesso su un sistema marginale (il resize-server del sito web), ha avuto piena libertà di movimento laterale.
Descrivimi il tuo homelab. Proxmox con 10-15 container — Nextcloud, Jellyfin, Home Assistant, Pi-hole, Vaultwarden, magari Immich. Tutto sulla stessa subnet 192.168.1.0/24, stessa LAN del tuo PC, della tua TV, dei tuoi dispositivi IoT. Se un container viene compromesso — poniamo il tuo Nextcloud pubblico con una vulnerabilità non patchata — l'attaccante vede tutta la tua rete. Proxmox incluso.
La segmentazione con VLAN non richiede hardware enterprise. OPNsense su un mini PC da €100 fa questo lavoro perfettamente. La struttura base è semplice: VLAN 10 per management (Proxmox, switch, AP — accessibile solo da VLAN admin), VLAN 20 per client LAN (il tuo PC), VLAN 40 per server interni, VLAN 50 per IoT (completamente isolata, nessun accesso inbound), VLAN 60 per guest WiFi. Con regole firewall inter-VLAN, un container compromesso non può raggiungere Proxmox.
La segmentazione di rete è riconosciuta come uno dei controlli più efficaci contro il movimento laterale — riducendo drasticamente la superficie esposta dopo un'intrusione iniziale. Per un homelab non si parla di milioni — ma si parla di non perdere tutto per un Nextcloud non aggiornato.
C'è un'obiezione frequente: le VLAN mal configurate danno una falsa sensazione di sicurezza. Vero. Una VLAN senza ACL strette è quasi peggio di niente — ti fa credere di essere al sicuro senza esserlo davvero. Ma questo è un argomento per configurarle bene, non per non farle.
Il vettore d'ingresso agli Uffizi era un software obsoleto per la gestione delle immagini del sito web. Un sistema periferico, dimenticato, che nessuno considerava critico. Nessuno lo aveva aggiornato. Nessuno monitorava se aveva vulnerabilità note.
Il tuo equivalente? Quel Nextcloud installato 14 mesi fa che sei sicuro di aggiornare "quando trovi il momento". O il Jellyfin che hai saltato perché tanto è solo per i film. O il Portainer che non aggiorni perché temi che le cose si rompano.
I numeri sono impietosi. Il 28% degli exploit viene lanciato entro un giorno dalla disclosure pubblica di una CVE. Il 56% dei CVE viene weaponizzato entro il primo mese. E il 50% dei CVE critici nel CISA KEV rimane non patchato 55 giorni dopo che il fix è già disponibile. Cinquantacinque giorni. Non è incompetenza — è la normalità del patch management in ambienti non monitorati.
Per i container Docker la soluzione si chiama Watchtower — un container che monitora le immagini e applica gli aggiornamenti automaticamente. Per i sistemi Debian/Ubuntu, unattended-upgrades attivo con notifiche. Non elimina il rischio, ma riduce drasticamente la finestra di esposizione.
E se non ricordi nemmeno quali servizi hai esposti su internet, questo è il momento di fare l'inventario. Tutti. Con le versioni. Con le date dell'ultimo aggiornamento. Sul tema vulnerabilità dei plugin e delle applicazioni web, ne avevamo già parlato in modo approfondito qui — la logica è identica per qualsiasi software self-hosted.
Più della metà delle aziende colpite da ransomware nel 2025 ha perso accesso ai propri backup durante l'attacco. Non dopo. Durante. Perché il ransomware era già nella rete da settimane, e aveva già identificato e cifrato i backup prima di attivare il payload principale.
Se il tuo Proxmox Backup Server è sullo stesso NAS, nella stessa rete, accessibile con le stesse credenziali dei sistemi che sta proteggendo — non hai backup. Hai una copia ridondante che verrà cifrata insieme all'originale.
La strategia che funziona contro il ransomware moderno si chiama 3-2-1-1-0: 3 copie dei dati, su 2 media diversi, con 1 copia offsite, 1 copia immutabile (che non può essere cancellata o modificata nemmeno con credenziali admin), e 0 errori verificati a ogni restore test. L'immutabilità è la chiave — Backblaze B2 con Object Lock, Wasabi immutable storage, o anche un disco esterno air-gapped fisicamente staccato dalla rete. E il test di restore: un backup non testato non esiste.
Quanto spesso testi il restore dei tuoi backup?
L'attacco agli Uffizi è iniziato ad agosto 2025. È esploso a fine gennaio 2026. Circa cinque mesi di presenza silenziosa nella rete senza che nessun sistema di monitoring lo rilevasse. O peggio: forse lo rilevava, ma nessuno guardava i log.
Domanda diretta: quando hai guardato l'ultima volta i log di accesso del tuo Proxmox? I failed login di Fail2ban? Le connessioni anomale in OPNsense? Se la risposta è "non me lo ricordo" o "non ho un sistema centralizzato", sei esattamente nella stessa situazione.
Per un homelab, Wazuh è il punto di partenza — SIEM open-source, agent su ogni macchina, dashboard centrale. CrowdSec aggiunge una lista di IP malevoli aggiornata dalla community, condivisa in tempo reale. Fail2ban su tutti i servizi esposti. Grafana per le metriche di sistema. Uptime Kuma per la disponibilità — e per ricevere un alert quando qualcosa smette di rispondere in modo anomalo.
Non devi essere un SOC analyst. Devi sapere quando qualcosa di strano succede nella tua rete. La differenza tra scoprire un intruso in 24 ore e in 18 mesi è questa.
Niente consigli generici. Questi sono i comandi e le configurazioni che puoi applicare questo weekend.
# 1. Verifica servizi esposti su internet (eseguilo ORA)
nmap -sV --open -p 1-65535 TUO_IP_PUBBLICO
# 2. Abilita unattended-upgrades su Debian/Ubuntu
apt install unattended-upgrades
dpkg-reconfigure --priority=low unattended-upgrades
# 3. Fail2ban — status e jail attivi
fail2ban-client status
fail2ban-client status sshd
# 4. Controlla login SSH falliti nelle ultime 24h
journalctl -u ssh --since "24 hours ago" | grep "Failed"
# 5. Lista container Docker con immagini obsolete
docker images --format "{{.Repository}}:{{.Tag}} {{.CreatedSince}}" | sort
# 6. Proxmox — verifica accessi admin recenti
grep "authentication failure" /var/log/auth.log | tail -50
# 7. Backup test — verifica ultimo restore (Proxmox Backup Server)
proxmox-backup-client list --repository user@server:datastore| Priorità | Azione | Tool | Tempo stimato |
|---|---|---|---|
| 🔴 Critica | Cambia tutte le password default (router, switch, AP, NAS) | — | 30 min |
| 🔴 Critica | Disabilita accesso diretto Proxmox da internet — usa VPN o Cloudflare Tunnel | NetBird / Cloudflare | 1-2h |
| 🔴 Critica | Separa IoT dalla LAN con VLAN dedicata | OPNsense/pfSense | 2-4h |
| 🟠 Alta | Configura Fail2ban su tutti i servizi esposti | fail2ban | 1h |
| 🟠 Alta | Attiva backup offsite immutabile | PBS + Backblaze B2 | 2-4h |
| 🟠 Alta | Installa Watchtower per aggiornamento automatico container | Watchtower (Docker) | 30 min |
| 🟡 Media | Deploy Wazuh agent su macchine critiche | Wazuh | 2-4h |
| 🟡 Media | Configura CrowdSec con bouncers OPNsense | CrowdSec | 1-2h |
| 🟡 Media |
Per chi vuole approfondire l'approccio alla sovranità dei propri dati e perché il self-hosting ha senso anche come scelta strategica, questo articolo sul cloud europeo inquadra bene il contesto — ma la sicurezza viene prima della sovranità.
In Italia nel primo semestre 2025: +53% di eventi cyber, +98% di incidenti confermati rispetto al 2024. Solo a novembre 2025, l'ACN ha identificato 614 servizi esposti a rischio su internet in un singolo mese. E in 15 giorni tra gennaio e febbraio 2026 sono caduti sia gli Uffizi che La Sapienza — con il Viminale colpito nello stesso periodo da attori cinesi, con l'esfiltrazione di dati su 5.000 agenti Digos.
Il pattern sistemico è quello di un paese che non ha ancora fatto i conti con la sicurezza digitale — né nella PA, né nelle PMI, né (con tutta franchezza) nella maggior parte degli homelab. L'88% dei breach alle PMI nel 2025 ha coinvolto ransomware (Verizon DBIR 2025). L'86% dei router ha ancora le credenziali di fabbrica. L'80% dei 320 honeypot Palo Alto è stato compromesso entro 24 ore dall'esposizione.
Il problema non è il budget del Ministero della Cultura. Il problema è strutturale — un data breach con protezione dei dati assente vale per la PA quanto per un homelab in salotto. E non risparmia nessuno dei due.
Gli Uffizi avevano un server dimenticato con software obsoleto che nessuno aggiornava. Tu hai quel container che non aggiorni da mesi perché funziona e non si tocca.
La differenza tra te e loro non è la competenza tecnica. È che tu questo articolo lo stai leggendo. Adesso sai. Quello che fai dopo è una scelta. La sicurezza homelab non aspetta.
Fonti: ANSA — Uffizi, una ventina le macchine compromesse · Andrea Fortuna — BabLock TTPs agli Uffizi · TechRadar — Uffizi confirms cyberattack · IBM Cost of a Data Breach 2025 · Palo Alto Unit42 — Honeypot attacks · DeepStrike — Vulnerability Statistics 2025 · CyberSec Italia — ACN Report nov 2025 · TheNextWeb — Uffizi e la vulnerabilità dei musei europei · Sophos State of Ransomware 2025
| Test restore backup almeno 1 volta al mese |
| — |
| Ricorrente |