Menu
Chi sono Servizi Percorso

Imprese

Greek-Fire Services
gotHABITS
Shift Spotter
Lookatmedia
Blog
Lavora con me
Matrix-style code on screen
Sicurezza Mar 6, 2026 • 18 min di lettura

Hacking Is Not What You Think: Your First Real Security Wins

Hollywood lied to you about hacking. Here's what it actually is, why your Flipper Zero is gathering dust, and four projects that will change how you see security forever.

Condividi:
Lee Foropoulos

Lee Foropoulos

18 min di lettura

The Hacker's Path: Una Serie in 5 Parti

Parte 1: IntroduzioneParte 2: Padronanza del FlipperParte 3: Fondamenti di KaliParte 4: ExploitationParte 5: L'Audit Completo

Hai comprato un Flipper Zero. Forse per i video su TikTok. Forse per la promessa di "hackerare" il mondo digitale. Forse ti piaceva semplicemente il delfino.

E ora sta in un cassetto.

Ti capisco. L'hai aperto, hai giocato con l'analizzatore sub-GHz per dieci minuti, forse hai copiato il telecomando della TV, e poi... niente. Perché nessuno ti ha detto cosa fare con esso. Nessuno ha collegato i punti tra "gadget divertente" e "capire davvero la sicurezza".

Questa serie risolve il problema. Alla fine di questi cinque articoli, capirai come funziona davvero la sicurezza, avrai fatto un audit completo della tua vita digitale, e quel Flipper sarà uno degli strumenti più usati del tuo kit.

Ma prima, dobbiamo disimparare tutto ciò che Hollywood ci ha insegnato sull'hacking.

La bugia di Hollywood

L'hai vista mille volte. Il genio col cappuccio digita furiosamente mentre testo verde scende a cascata sullo schermo. "Sono dentro," annuncia, avendo aggirato la sicurezza del Pentagono in circa quarantacinque secondi. La musica drammatica cresce.

Questo è completamente falso.

Il vero hacking è così: Qualcuno passa sei ore a leggere documentazione su come funziona un protocollo particolare. Nota che il meccanismo di autenticazione ha un difetto, forse non valida correttamente l'input, o forse si fida di dati che non dovrebbe. Scrive un piccolo script per testare la sua teoria. Non funziona. Fa debug per altre due ore. Alla fine, trova l'approccio giusto. Nessuna musica drammatica. Probabilmente ha bisogno di caffè.

L'hacking è capire i sistemi meglio di quanto i loro progettisti avessero previsto. Questo è tutto. Non è magia. Non è talento innato. È curiosità più metodologia più la volontà di leggere documentazione noiosa.

L'hacking è capire i sistemi meglio di quanto i loro progettisti avessero previsto. Non è magia. È curiosità più metodologia più la volontà di leggere documentazione noiosa.

I tre cappelli

Il mondo della sicurezza divide i professionisti in categorie basate sull'intento:

  • Black Hat: Attori malevoli. Irrompono nei sistemi per guadagno personale, vendetta o caos. Sono criminali, e sono quelli di cui parlano i notiziari.
  • White Hat: Hacker etici. Irrompono nei sistemi con permesso per trovare vulnerabilità prima dei black hat. Le aziende li pagano per questo. È una carriera legittima.
  • Gray Hat: Il mezzo grigio. Possono trovare vulnerabilità senza permesso ma le divulgano responsabilmente invece di sfruttarle. Legalmente discutibile, eticamente dibattibile.

Ciò che facciamo in questa serie è inequivocabilmente white hat. Stai testando le tue cose. La tua rete. I tuoi dispositivi. La tua sicurezza. Questo non è solo legale, è intelligente.

Perché imparare questo?

Non puoi difendere ciò che non capisci. Ogni professionista della sicurezza deve capire le tecniche offensive, non per attaccare altri, ma per sapere da cosa si difende. Stai per vedere la tua vita digitale dalla prospettiva di un attaccante. Quella conoscenza è potere.

La realtà legale

Chiariamo subito questo punto, perché non mi interessa aiutare nessuno a finire in prigione.

⚠️ La regola d'oro

Testa solo sistemi che possiedi o per cui hai esplicito permesso scritto.

Non è solo un consiglio etico, è realtà legale. Il Computer Fraud and Abuse Act (CFAA) negli USA rende l'accesso non autorizzato ai sistemi informatici un crimine federale. "Stavo solo imparando" non è una difesa. "Non volevo fare danni" non è una difesa. "Li ho informati della vulnerabilità" non è una difesa.

La buona notizia? Testare le tue cose è completamente legale. La tua rete domestica, i tuoi dispositivi, i tuoi account: tutto lecito. E onestamente, è dove dovresti iniziare comunque. Troverai abbastanza vulnerabilità nella tua vita prima di dover guardare altrove.

Quando sarai pronto ad andare oltre i tuoi sistemi, ci sono percorsi legittimi:

  • Programmi Bug Bounty: Aziende come Google, Microsoft, Apple e migliaia di altre pagano ricercatori per trovare vulnerabilità. HackerOne e Bugcrowd sono piattaforme che connettono ricercatori con programmi. Legale, autorizzato e spesso redditizio.
  • Penetration Testing: Diventa un professionista. Le aziende assumono consulenti di sicurezza per irrompere nei loro sistemi. Ottieni autorizzazione scritta, ambito definito e stipendio.
  • Capture The Flag (CTF): Ambienti di pratica progettati per essere hackerati. TryHackMe, HackTheBox e altri forniscono terreni di gioco legali.

Tutto in questa serie funziona sulla tua attrezzatura. Nessuna zona grigia. Nessun rischio.

Il tuo toolkit: L'essenziale

80%
Dei concetti pratici di sicurezza si possono imparare con solo due strumenti: un Flipper Zero e Kali Linux.

Ci concentreremo su due strumenti principali in questa serie. Insieme, coprono circa l'80% di ciò che devi capire sulla sicurezza pratica.

Il Flipper Zero

Il Flipper Zero è un multi-tool da 200$ per radiofrequenze e hardware hacking. Sembra un giocattolo (c'è un delfino animato). Non è un giocattolo.

Cosa fa davvero:

  • Sub-GHz: Trasmettere e ricevere segnali radio nella gamma sub-gigahertz. Copre porte del garage, chiavi auto, sensori wireless, stazioni meteo e innumerevoli dispositivi IoT.
  • RFID (125kHz): Leggere ed emulare carte di prossimità a bassa frequenza, quelle usate per accesso edifici, abbonamenti palestra e vecchie chiavi d'hotel.
  • NFC (13.56MHz): Interagire con carte ad alta frequenza come titoli di viaggio, badge di accesso recenti e carte di pagamento contactless.
  • Infrarosso: Telecomando universale. Apprendere e trasmettere segnali IR per TV, condizionatori, proiettori e qualsiasi cosa con ricevitore IR.
  • BadUSB: Emulare una tastiera. Collegalo a un computer e digita qualsiasi payload tu abbia programmato, istantaneamente.
  • GPIO: Espansione hardware. Collega moduli esterni per WiFi, frequenze radio aggiuntive e progetti personalizzati.

Il Flipper non hackera le cose automaticamente. È uno strumento di apprendimento che ti permette di capire come funzionano i protocolli wireless interagendo realmente con loro. Quella comprensione è ciò che ti rende pericoloso (nel senso buono).

Kali Linux

Se il Flipper è un coltellino svizzero, Kali Linux è un'intera officina.

Kali è una distribuzione Linux basata su Debian progettata specificamente per penetration testing e ricerca sulla sicurezza. Viene preinstallata con oltre 600 strumenti di sicurezza, dagli scanner di rete ai cracker di password ai framework di exploitation.

Approfondiremo Kali nella Parte 3. Per ora, sappi solo che esiste e che è dove ci diplomeremo una volta padroneggiati i fondamenti del Flipper.

Perché questi due

Hardware e software. Fisico e digitale. Il Flipper ti insegna il mondo wireless: radiofrequenze, carte di accesso, infrarosso. Kali ti insegna le reti: scansione, exploitation, analisi.

Insieme, ti danno un quadro completo. Gli attacchi reali spesso combinano entrambi: accesso fisico che porta alla compromissione della rete, o ricognizione di rete che abilita l'ingresso fisico. Capire entrambi i domini è ciò che separa gli hobbisti curiosi dai veri professionisti della sicurezza.

Linee di codice su schermo scuro
Il vero hacking è leggere documentazione e capire i sistemi, non testo verde che scorre su uno schermo

Punto Chiave

L'hacking è capire i sistemi meglio di quanto i loro progettisti avessero previsto. Non è magia o talento innato. È curiosità più metodologia più la volontà di leggere documentazione noiosa.

Flipper Zero: Dalla scatola all'esperto

Configuriamolo correttamente. Se stai usando il firmware stock, stai lasciando capacità sul tavolo.

Firmware stock vs. personalizzato

Il Flipper viene con firmware ufficiale di Flipper Devices. È stabile, sicuro e... limitato. Restrizioni regionali sulle radiofrequenze. Protocolli mancanti. Meno funzionalità.

Il firmware personalizzato sblocca il pieno potenziale dell'hardware. Le due opzioni principali:

Firmware Momentum (la mia raccomandazione):

  • Frequenze Sub-GHz regionali sbloccate
  • Supporto protocolli esteso
  • Applicazioni aggiuntive
  • Migliore personalizzazione UI
  • Comunità di sviluppo attiva
  • Documentazione eccellente

Firmware Unleashed (alternativa solida):

  • Set di funzionalità simile a Momentum
  • Filosofia di sviluppo diversa
  • Alcuni preferiscono la sua interfaccia
  • Anche attivamente mantenuto

Uso Momentum. La scelta tra i due è principalmente preferenza personale: entrambi espanderanno drasticamente ciò che il tuo Flipper può fare.

Progetto 0: Installare il firmware Momentum

Tempo: 10 minuti

Cosa ti serve: Flipper Zero, computer, cavo USB

Passaggi:

  1. Scarica qFlipper da flipperzero.one (app desktop ufficiale)
  2. Collega il Flipper via USB
  3. In qFlipper, vai alla sezione firmware
  4. Seleziona "Install from file"
  5. Scarica l'ultima release di Momentum da momentum-fw.dev
  6. Installa il file .tgz tramite qFlipper
  7. Attendi che l'aggiornamento si completi (non scollegare!)
  8. Il tuo Flipper si riavvia con capacità espanse

Orientamento rapido

Con Momentum installato, facciamo un tour delle tue nuove capacità:

  • Sub-GHz: Cattura, analisi e trasmissione di radiofrequenze
  • 125 kHz RFID: Lettura ed emulazione carte a bassa frequenza
  • NFC: Interazione con carte ad alta frequenza
  • Infrarosso: Apprendimento e controllo telecomandi IR
  • Bad USB: Payload di emulazione tastiera
  • iButton: Emulazione chiavi Dallas/Maxim 1-Wire
  • GPIO: Espansione hardware e moduli
  • Applicazioni: Giochi, strumenti e app della comunità

Impostazioni da cambiare subito: aumenta la luminosità dello schermo, imposta il blocco automatico a un tempo ragionevole, e esplora le opzioni specifiche di Momentum per animazioni e personalizzazioni dell'interfaccia.

Le tue prime vittorie: Quattro progetti che cambiano tutto

La teoria va bene. Facciamo qualcosa. Questi quattro progetti richiederanno circa un'ora in totale e cambieranno fondamentalmente come vedi il mondo intorno a te.

Progetto 1: Clona ogni telecomando IR in casa

Tempo: 15 minuti

Cosa imparerai: I segnali IR non hanno sicurezza. Chiunque con 20$ può controllare i tuoi dispositivi.

Passaggi:

  1. Naviga a Infrared → Learn New Remote
  2. Dagli un nome utile (es., "TV Soggiorno")
  3. Punta il telecomando verso il ricevitore IR del Flipper (parte superiore)
  4. Premi un pulsante sul telecomando
  5. Nomina quel pulsante sul Flipper
  6. Ripeti per tutti i pulsanti (accensione, volume, ingresso, ecc.)
  7. Salva il telecomando
  8. Ripeti per ogni dispositivo IR: TV, soundbar, condizionatore, ventilatori, strisce LED

Testalo: Vai a Infrared → Saved Remotes → seleziona il telecomando → usalo

Cosa hai appena imparato: I telecomandi IR trasmettono comandi in testo semplice senza autenticazione. Nessuna crittografia, nessun accoppiamento, nessuna sicurezza. Chiunque possa puntare un trasmettitore IR verso la tua TV può controllarla. Vero per la maggior parte dell'elettronica di consumo degli ultimi 40 anni.

Progetto 2: Scansiona le tue carte NFC

Tempo: 10 minuti

Cosa imparerai: Le tue carte trasmettono più dati di quanto pensi.

Passaggi:

  1. Naviga a NFC → Read
  2. Tieni una carta contro il retro del Flipper (dove c'è l'antenna NFC)
  3. Attendi il completamento della lettura
  4. Esamina i risultati

Prova queste carte:

  • Carte di credito/debito (vedi cosa è esposto, di solito tipo carta e numero parziale)
  • Carte di trasporto (spesso mostrano saldo, transazioni recenti)
  • Badge di lavoro (identifica tipo carta e crittografia)
  • Carte chiave d'hotel (di solito mostrano assegnazione stanza)
  • Carte membership palestra

Cosa hai appena imparato: Le carte NFC trasmettono dati wireless a qualsiasi lettore entro pochi centimetri. Alcune carte sono crittografate (lo vedrai indicato). Alcune no. Il Flipper ti mostra esattamente cosa può vedere qualsiasi lettore NFC. Per carte senza crittografia, questo è tutto. Pensaci la prossima volta che sei in una metro affollata.

Concetto di tecnologia e segnali
Lo spettro radio intorno a te è costantemente attivo: semplicemente non hai mai avuto gli strumenti per vederlo

Progetto 3: Esplora lo spettro Sub-GHz

Tempo: 15 minuti

Cosa imparerai: Il tuo ambiente trasmette costantemente, e la maggior parte non ha sicurezza.

Passaggi:

  1. Naviga a Sub-GHz → Frequency Analyzer
  2. Osserva il display: mostra attività RF in tempo reale
  3. Cammina per casa e nel vicinato
  4. Nota quali frequenze si accendono

Cosa vedrai:

  • ~315 MHz / ~390 MHz / ~433 MHz: Porte garage, chiavi auto, sensori wireless
  • ~433 MHz: Stazioni meteo, campanelli, alcuni dispositivi IoT
  • ~868 MHz (UE) / ~915 MHz (US): Dispositivi smart home, LoRa

Credito extra: Vai a Sub-GHz → Read e prova a catturare segnali. Premi il telecomando del tuo garage (guardando quello, non la porta). Guarda il segnale catturato. Esamina il protocollo.

Cosa hai appena imparato: Lo spettro sub-gigahertz è incredibilmente attivo. Porte garage, chiavi auto, stazioni meteo, sensori di sicurezza, dispositivi smart home, tutti trasmettono. Molti usano codici statici che possono essere catturati e riprodotti. Le chiavi auto moderne usano rolling codes (discuteremo perché è importante nella Parte 2), ma i sistemi più vecchi? Completamente aperti.

Progetto 4: Il tuo primo payload BadUSB

Tempo: 20 minuti

Cosa imparerai: I computer si fidano implicitamente delle tastiere. Questa è una falla di sicurezza fondamentale.

Payload 1 - Hello World:

REM This is a comment - Flipper ignores these lines
REM Simple Hello World payload
DELAY 1000
GUI r
DELAY 500
STRING notepad
ENTER
DELAY 1000
STRING Hello from Flipper Zero!
ENTER
STRING Your computer just trusted me completely.
ENTER
STRING Think about what else I could have typed...

Passaggi:

  1. Crea un file chiamato hello.txt con il payload sopra
  2. Collega il Flipper al computer via USB
  3. Copia il file in SD Card/badusb/
  4. Sul Flipper: Bad USB → hello.txt → Run
  5. Collega il Flipper alla porta USB del computer
  6. Guardalo digitare automaticamente

Payload 2 - Rick Roll (per divertimento):

DELAY 1000
GUI r
DELAY 500
STRING https://www.youtube.com/watch?v=dQw4w9WgXcQ
ENTER

Cosa hai appena imparato: Quando colleghi un dispositivo USB che si identifica come tastiera, il tuo computer si fida completamente. Non c'è "ti fidi di questa tastiera?" Funziona e basta. Il Flipper ha digitato quei caratteri più veloce di qualsiasi umano, e il computer ha accettato ogni battitura. Ora immagina un payload che apre PowerShell, scarica uno script da internet e lo esegue. Così funzionano gli attacchi USB nel mondo reale. Accesso fisico a una porta USB significa game over.

Cosa hai appena imparato

Nell'ultima ora, hai scoperto:

  • L'IR non ha sicurezza. Qualsiasi dispositivo con trasmettitore IR può controllare qualsiasi dispositivo con ricevitore IR. Linea di vista, nessuna autenticazione, nessuna crittografia. Il telecomando della TV trasmette comandi che chiunque può catturare e riprodurre.
  • Le carte NFC perdono dati. Ogni volta che avvicini la carta a un lettore, qualsiasi dispositivo NFC vicino può vedere lo scambio. Le carte crittografate proteggono le parti importanti, ma molte carte, incluse alcune che porti quotidianamente, espongono più di quanto ti aspetteresti.
  • Lo spettro radio è rumoroso. Centinaia di dispositivi intorno a te trasmettono costantemente. Porte garage, chiavi auto, campanelli, stazioni meteo, dispositivi smart home, tutti trasmettono. Molti con sicurezza minima o nulla.
  • La fiducia USB è rotta. I computer si fidano implicitamente delle tastiere. Collega un dispositivo che dice di essere una tastiera, e puoi digitare qualsiasi cosa, inclusi comandi che compromettono il sistema.

Non sono vulnerabilità esotiche. Sono fondamentali per come funzionano queste tecnologie. Il Flipper non ha "hackerato" nulla: ti ha mostrato come operano davvero questi sistemi, che è di per sé la rivelazione.

La sicurezza tramite oscurità fallisce nel momento in cui qualcuno davvero guarda. Ora sei qualcuno che davvero guarda.

Cosa viene dopo

Questa era la base. Capisci cos'è davvero l'hacking, hai configurato il Flipper correttamente, e hai completato quattro progetti che dimostrano veri concetti di sicurezza.

Nella Parte 2, approfondiamo ogni capacità del Flipper. Imparerai:

  • Come analizzare e potenzialmente clonare le tue carte di accesso (deep dive 125kHz e 13.56MHz)
  • Perché i segnali delle porte garage funzionano come funzionano, e cosa significano davvero i rolling codes
  • Come scrivere payload BadUSB sofisticati che dimostrano vere catene d'attacco
  • Espansione GPIO: estendere le capacità del Flipper con moduli hardware
  • Tutto ciò che devi sapere prima di passare a Kali Linux
Google Calendar Outlook
Piano d'Azione Parte 1 0/6

Prima di ciò, ecco cosa dovresti fare:

  • Esplorare le impostazioni del firmware Momentum e personalizzare il Flipper
  • Leggere le tue carte di accesso e documentare cosa trovi
  • Catturare più segnali Sub-GHz e esaminare i protocolli
  • Scrivere un payload BadUSB personalizzato che faccia qualcosa di utile
  • Unirti alla community Flipper (Discord, Reddit, GitHub)

Il tuo Flipper non raccoglie più polvere. Hai iniziato il percorso. La prossima volta, padroneggiamo ogni protocollo, e capirai perché il tuo badge di lavoro potrebbe essere meno sicuro di quanto pensi.

The Hacker's Path

Una serie in 5 parti che ti porta da curioso a capace.

Parte 1: Introduzione ✓ Parte 2: Padronanza del Flipper Parte 3: Fondamenti di Kali Parte 4: Exploitation Parte 5: Audit Completo

Checklist Parte 1

☐ Firmware: Momentum (o Unleashed) installato e configurato

☐ Telecomandi IR: Tutti i telecomandi di casa catturati nel Flipper

☐ Carte NFC: Carte personali scansionate, esposizione dati compresa

☐ Sub-GHz: Spettro esplorato, segnali catturati

☐ BadUSB: Payload Hello World eseguito con successo

☐ Comprensione: Fondamenti di sicurezza interiorizzati

How was this article?

Series

The Hacker's Path

View Overview →
1 Introduction 2 Flipper Mastery 3 Kali Fundamentals 4 Exploitation 5 The Full Audit
Part 2: Flipper Mastery

Condividi

Link copied to clipboard!

You Might Also Like

Terminal window with SSH connection on a dark monitor
Security

SSH Like You Mean It: The Windows-to-Kali Pipeline That Just Works

16 min read
Green matrix-style code streaming down a dark screen
Security

The Only Kali Linux Cheat Sheet You'll Ever Bookmark

14 min read
Linux terminal with code on screen
Technology

Skip the Forums: How I Used AI to Build the Perfect Linux Install in One Afternoon

10 min read
Lee Foropoulos

Lee Foropoulos

Business Development Lead at Lookatmedia, fractional executive, and founder of gotHABITS.

🔔

Non perdere nessun articolo

Ricevi una notifica quando vengono pubblicati nuovi articoli. Nessuna email richiesta.

Vedrai un banner sul sito quando viene pubblicato un nuovo articolo, oltre a una notifica del browser se lo consenti.

Solo notifiche del browser. Niente spam, niente email.