- Il Cardputer-Adv di M5Stack è un mini-computer da 40€ con ESP32-S3, tastiera, schermo e batteria integrata. Con Bruce firmware diventa una piattaforma offensiva tascabile. Sì, quaranta euro. No, non è uno scherzo.
- Evil Portal: access point fake + portale captive = credenziali in chiaro sul display in meno di 2 minuti. Zero competenze hardware, zero attrezzatura speciale, zero scrupoli — per scopi educativi, ovviamente.
- Deauth attack empiricamente misurato: efficace fino a 15m su AP consumer senza PMF. Con PMF abilitato: protezione totale. La differenza: un checkbox nel pannello admin che il 99% delle persone non ha mai aperto.
- Il gap tra 'so configurare il Wi-Fi' e 'so come il Wi-Fi può essere fatto a pezzi' è un abisso epistemologico che questo aggeggio da 40€ attraversa con una disinvoltura offensiva.
Ambiente di test: rete controllata, dispositivi di proprietà, uso a fini didattici. Per scopi educativi, ovviamente — il disclaimer rituale che nessuno legge ma che va scritto lo stesso, perché il mondo è come è.
[01] L'oggetto che nessuno aveva riconosciuto
Esiste, nel mestiere di chi insegna sicurezza informatica, una categoria di momenti che si potrebbe definire pedagogicamente irreversibili: quei frangenti in cui una dimostrazione pratica demolisce con placida efferatezza qualsiasi certezza teorica precedentemente acquisita. Questo articolo nasce da uno di quei momenti. Uno particolarmente riuscito, a dirla tutta.
Il contesto: un corso professionale dedicato alla sicurezza informatica, frequentato da una platea eterogenea — laureati in informatica, ingegneri, tecnici con anni di campo sulle spalle. Gente che non stava scoprendo cos'è un pacchetto TCP per la prima volta. Gente che, con quella peculiare sicumera che si acquisisce dopo aver configurato firewall e VLAN per anni, era convinta — con una certa fondata ragione, va detto — di sapere già come funziona il Wi-Fi. (Spoiler: sapevano come si configura. Non è la stessa cosa.)
Quando ho estratto il Cardputer-Adv dal taschino della giacca con la solennità appropriata alla circostanza, la reazione collettiva dei primi tre secondi oscillava tra 'è una Game Boy?' e 'il professore ha perso la testa'. Comprensibile. Il dispositivo è grande quanto un pacchetto di sigarette. Ha una tastierina che avrebbe fatto onore a un Nokia 3310. Costa 40 euro su AliExpress con spedizione inclusa. Non emana, oggettivamente, un'aura di minaccia esistenziale.
Ho avviato Bruce firmware. Ho navigato con invidiabile flemma nel menu Wi-Fi, ho selezionato Evil Portal, ho caricato un template di login page — una generica schermata da 'rete ospiti aziendale', il tipo di roba che chiunque compilerebbe senza pensarci due volte — e ho premuto avvia. Il Cardputer ha creato un access point visibile a ogni telefono in aula nel giro di una trentina di secondi. Senza laptop aggiuntivi. Senza cavi. Senza niente che costasse più di 40 euro.
Dal momento in cui ho tolto il dispositivo dalla tasca a quello in cui la rete fake era pienamente operativa: meno di due minuti. Uno studente — uno dei più brillanti, per quella crudele ironia che il destino riserva ai più preparati — si è connesso per curiosità. Username e password sono comparsi sul display del Cardputer in chiaro, immediatamente, con la sobrietà di chi non ha nulla da giustificare.
Il silenzio è durato quattro secondi netti. Poi qualcuno ha detto, con la voce di chi ha appena realizzato qualcosa di sgradevole, una parola sola. Non la riporto, ma la state già sentendo. Almeno tre persone hanno guardato il proprio telefono, hanno visto la lista delle reti Wi-Fi salvate, e le hanno silenziosamente dimenticate tutte. (Ecco. Questo. È esattamente per questo che si fa la dimostrazione pratica.)
[02] Cosa c'è dentro — perché 40€ fanno questo
Prima di procedere con la rassegna delle cose spiacevoli che questo oggetto sa fare, vale la pena capire perché le sa fare. Non è magia nera, non è un caso fortuito: è ingegneria economica applicata con una competenza che, francamente, dovrebbe far riflettere chiunque venda soluzioni di sicurezza a cinque zeri.
Il pezzo fondamentale è l'ESP32-S3: un microcontrollore con supporto nativo al monitor mode Wi-Fi, ovvero la capacità di ricevere frame 802.11 raw senza associarsi ad alcuna rete. È la stessa funzionalità per cui si pagano centinaia di euro in schede Wi-Fi da laboratorio, implementata su un chip che costa meno di un aperitivo a Milano. Combinata con Bruce firmware — progetto open-source, mantenuto attivamente, specificamente concepito per operazioni offensive su piattaforme ESP32 — il Cardputer diventa uno strumento di ricerca e testing concreto, non il solito aggeggio da esporre sulla scrivania per fare scena.
Bruce non è l'unica opzione disponibile: esistono M5Launcher, GhostESP e una galassia di firmware specializzati per singole funzioni. Bruce è stato scelto per la sua completezza operativa out-of-the-box e per il fatto che non richiede di essere ingegneri embedded per usarlo. Tutto quello che segue è riproducibile con Bruce versione corrente su Cardputer-Adv, senza modifiche hardware, senza saldatore, senza piangere.
[03] Evil Portal — l'attacco che non dovrebbe funzionare così bene (e invece)
L'Evil Portal non è una tecnica nuova. È discussa in ogni corso di ethical hacking degno di questo nome, campeggia in ogni framework di red team, è documentata con dovizia accademica da almeno due decenni. Eppure — con una pervicacia che rasenta l'insolenza — continua a funzionare. Non perché sfrutti una vulnerabilità del protocollo: il protocollo in questo caso è assolutamente incolpevole. Funziona perché sfrutta una vulnerabilità degli esseri umani, e quella, notoriamente, non si patcha con un firmware update.
Come funziona — la versione tecnica, breve e spietata
# Evil Portal — flusso di attacco semplificato # (versione per chi vuole capire senza un dottorato in 802.11) 1. Cardputer avvia un Access Point fake (SSID convincente a piacere) 2. Avvia un DHCP server interno → assegna IP ai client ignari 3. Avvia un DNS server interno → risolve TUTTO verso sé stesso 4. Avvia un HTTP server → serve la pagina di login fake # Quando la vittima si connette: → riceve IP dal DHCP del Cardputer (ignaro) → qualsiasi DNS query → risposta: "sono io" → OS rileva captive portal → apre browser in automatico → utente vede schermata login → la compila ("è la solita roba") → credenziali → log in chiaro sul Cardputer (display + microSD) # Tempo di setup con Bruce: < 2 minuti # Competenze hardware richieste: nessuna # Costo totale dell'operazione: 40€ # Scopo: educativo, ovviamente
Quel che lascia interdetti non è la sofisticazione tecnica — non ne ha, e questa è proprio la cosa più inquietante. È la trivialità dell'esecuzione unita alla devastante efficacia pratica. Bruce gestisce autonomamente gli stack DHCP, DNS e HTTP, con template di login page caricabili dalla microSD. In aula, la pagina usata per la dimostrazione era una banalissima schermata da 'rete ospiti aziendale' — il genere di cosa che si compila d'istinto, senza fermarsi a ragionare, perché 'tanto è solo il Wi-Fi dell'ufficio'. Già.
Tutto ciò che è descritto in questo articolo è stato eseguito su reti e dispositivi di proprietà, in ambiente controllato, per fini didattici e di ricerca. Replicare queste tecniche su reti o persone non autorizzate configura reati informatici in pressoché ogni ordinamento giuridico del pianeta. Il disclaimer è noioso? Assolutamente. Va scritto lo stesso? Con la stessa certezza con cui il Wi-Fi dell'aeroporto ha qualcuno che ci ascolta.
[04] Beacon Spam — ovvero come creare il caos senza fare nulla di utile
Dopo il momento di raccoglimento collettivo indotto dall'Evil Portal, la seconda dimostrazione è stata il Beacon Spam. Meno pericoloso — non intercetta nulla, non cattura credenziali, non fa danni diretti — ma straordinariamente efficace nel suo ruolo di disturbo cosmico, e pedagogicamente forse ancora più utile della prima demo.
Il meccanismo: ogni access point Wi-Fi trasmette continuamente beacon frame — pacchetti di management 802.11 che annunciano la rete, il suo nome, le sue capacità. Un dispositivo in monitor mode può inviare beacon frame con qualsiasi SSID inventato al momento, creando decine o centinaia di reti fantasma che i telefoni nelle vicinanze raccolgono con la meticolosa assenza di senso critico che li contraddistingue.
In aula, avviando Bruce in modalità Beacon Spam random, i telefoni degli studenti hanno iniziato a popolarsi di reti con nomi casuali fino a raggiungere oltre 60 SSID nella lista, dove prima ce ne erano una decina. C'era chi rideva. C'era chi guardava lo schermo del telefono con quell'espressione vagamente filosofica di chi sta rivalutando scelte di vita. E c'era chi, con assoluta serietà professionale, ha tirato fuori il laptop per catturare i pacchetti — gesto ammirevole, discutibile nei tempi, impeccabile nello spirito.
La domanda che qualcuno ha posto, con un'inquietudine genuina, è stata: 'ma allora come faccio a sapere quali reti sono vere?' Benvenuti nell'anno 2026, prego accomodarsi.
Il beacon spam non disconnette nessuno e non intercetta traffico: è rumore, non un attacco diretto. Il suo utilizzo offensivo reale è nella confusione tattica — rendere ardua l'identificazione dell'AP legittimo, o mascherare un Evil Portal in mezzo a 50 reti false. Come disturbo puro, l'impatto sulla connettività è marginale. Come strumento di social engineering applicato a una platea di professionisti dell'informatica, è, a quanto risulta empiricamente, sorprendentemente efficace.
[05] Deauth Attack — l'attacco del 2004 che nel 2026 funziona ancora benissimo
Il deauthentication attack è tra le vulnerabilità più longeve e meno eleganti del protocollo 802.11. Documentato formalmente dalla prima metà degli anni 2000, è rimasto sfruttabile per vent'anni abbondanti per una ragione semplice e quasi commovente nella sua banalità: i frame di management Wi-Fi — tra cui i frame di deautenticazione — non erano autenticati. Nessuno. Poteva mandarli chiunque. A nome di chiunque. Verso chiunque. Era, per usare un termine tecnico, una roba abbastanza assurda.
Lo standard 802.11w — Management Frame Protection, detto anche PMF — ha introdotto crittografia e autenticazione per questi frame. Ratificato nel 2009. Integrato in 802.11-2012. Reso obbligatorio in WPA3 nel 2018. Supportato da WPA2 come opzione facoltativa da anni. Sulla carta, è un problema risolto. Sulla carta.
Nella realtà operativa, la stragrande maggioranza dei router consumer — modem ISP in testa, testato empiricamente su hardware TIM — non espone all'utente il controllo sulla configurazione PMF, o ce l'ha disabilitata di default con la nonchalance di chi non pensa che questo possa essere un problema. Il risultato è che milioni di reti domestiche e di piccole aziende sono, nel 2026, ancora vulnerabili a un attacco documentato vent'anni fa, eseguibile con un dispositivo che costa meno di una pizza con le birre.
I dati — misurazione empirica su rete consumer
Con Cardputer-Adv e Bruce, su rete domestica con PMF disabilitato (default sul modem TIM testato), ho misurato il tempo di disconnessione di un client Android a distanze crescenti. Singola misurazione per distanza, line-of-sight, senza schermature. Zero fallimenti su sei distanze testate. Ecco i numeri, nella loro eloquente semplicità.
| Distanza | Tempo disconnessione | Esito | Note |
|---|---|---|---|
| 1 m | < 1 sec | SUCCESSO | Istantaneo. Niente da aggiungere. |
| 3 m | < 1 sec | SUCCESSO | Idem. |
| 5 m | ~2 sec | SUCCESSO | Degradazione RSSI visibile |
| 8 m | ~3 sec | SUCCESSO | — |
| 10 m | ~6 sec | SUCCESSO | Rallenta, ma funziona ancora benissimo |
| 15 m | ~10 sec | SUCCESSO | Limite massimo testato |
| Fallimenti totali: 0/6. Range di fallimento non raggiunto entro i 15m testati. Con PMF abilitato (WPA2+PMF Required o WPA3): attacco bloccato categoricamente — comportamento atteso da spec 802.11w, non testabile su modem ISP consumer con configurazione PMF non esposta all'utente. | |||
Il trend è quello atteso: il tempo cresce in modo non lineare con la distanza, coerentemente con la degradazione del segnale RF. Quello che non era scontato è l'assenza totale di fallimenti fino a 15 metri — un raggio che copre comodamente qualunque scenario realistico: un bar, un coworking, una sala riunioni, una reception. Roba di tutti i giorni, insomma.
PMF — la contromisura che funziona davvero (usatela)
Con PMF abilitato sull'access point — WPA2 + PMF Required, o WPA3 puro — l'attacco viene bloccato in modo categorico. Non 'mitigato', non 'reso più difficile': zero disconnessioni, punto. I frame di deauth inviati dal Cardputer vengono ignorati dal client perché non possono essere verificati come autentici. È la risposta tecnica corretta a questo vettore d'attacco, disponibile da quasi vent'anni, e il motivo per cui è ancora così poco diffusa è, eufemisticamente, un fallimento collettivo del settore.
PMF non è un'opzione avanzata riservata agli esperti: è la differenza tra un AP vulnerabile a un attacco del 2004 e uno che non lo è. Su WPA2 richiede un checkbox nel pannello admin. Su WPA3 è già obbligatorio di default. Se il vostro router non vi espone questa opzione — come accade con buona parte dei modem ISP consumer — questo è il momento propizio per valutare un AP dedicato con firmware decente. Il vostro amministratore di rete, se ne avete uno, vi ringrazierà. Se siete voi l'amministratore di rete, ringraziate voi stessi.
[06] Cosa significa tutto questo — per chi ha la responsabilità di difendere
Questo articolo non è un tutorial per fare danni. Non è neanche una celebrazione acritica del 'guarda quanto è figo questo affarino'. È un promemoria, rivolto a chiunque gestisca infrastrutture di rete — aziendali, domestiche, scolastiche, qualunque cosa — che la sicurezza wireless nel 2026 non può ancora permettersi il lusso di essere trattata come un problema risolto.
Il Cardputer-Adv non è uno strumento sofisticato. Non richiede competenze specialistiche per essere operativo. Non ha un prezzo che possa fungere da deterrente a chicchessia. Se uno strumento con queste caratteristiche è in grado di dimostrare empiricamente tutto quello che abbiamo discusso sopra, il livello di attenzione che la sicurezza wireless riceve nella pianificazione della maggior parte delle infrastrutture è — con il rispetto che merita la professione — strutturalmente inadeguato.
Checklist — cosa fare adesso, concretamente
| Azione | Priorità | Perché |
|---|---|---|
| Abilitare PMF / passare a WPA3 | ALTA | Rende il deauth attack categoricamente inutile |
| Non connettersi a reti Wi-Fi sconosciute | ALTA | Evil Portal: 2 min, nessuna competenza richiesta |
| Usare VPN su reti non controllate | MEDIA | Mitiga anche se si sbaglia rete |
| Separare rete ospiti da produzione | MEDIA | Riduce il blast radius |
| Formare gli utenti — pratica, non slide | CONTINUA | Il vettore umano non ha patch. Non esiste un hotfix per la credulità. |
L'ultima riga è quella che conta di più. L'ho imparato empiricamente, in aula, quella lezione: tutta la teoria del mondo non produce lo stesso effetto di guardare le proprie credenziali comparire in chiaro sul display di un oggetto che sembrava una Game Boy, tenuto in mano da qualcuno che sorride. Quello rimane. Il resto, nella migliore delle ipotesi, si dimentica alla seconda slide successiva.