VFDs — vacuum fluorescent displays — have a distinctive look, and [Anthony Francis-Jones] is generally fascinated with retro displays. So, it makes sense that he’d build a VFD project as an excuse to explain how they work. You can see the video below.

VFDs are almost miniature CRTs. They are very flexible in what they display and can even use color in a limited way. The project [Anthony] uses as an example is an indicator to show the video number he’s currently making.

The glass display is evacuated and, like a tube, has a getter to consume the last of the gas. There’s a filament that emits electrons, a grid to control their flow, and anodes coated with a fluorescent material. Unlike a regular tube, the filaments have to operate cool so they don’t glow under operation.

When the grid is positive, and the anode is also positive, that anode will glow. The anodes can be arranged in any pattern, although these are made as seven-segment displays. The filament on the tubes in this project runs on 1.5V, and the anodes need about 25V.

The project itself is fairly simple. Of course, you need a way to control the 25V anode and grid voltages, but that’s easy enough to do. It is possible to make VFDs in unusual character shapes. They work well as light sources for projection displays, too.

youtube.com/embed/FH6LzV8FaEw?…

hackaday.com/2025/01/29/inside…

DeepSeek, recentemente salita alla ribalta per il suo modello di ragionamento avanzato DeepSeek-R1, è stata elogiata per la sua efficienza e il rapporto costo-efficacia, posizionandosi come un competitor diretto di OpenAI.

Tuttavia, questa esposizione mette in luce le criticità nella protezione dei dati in un settore in rapida espansione, dove la sicurezza sembra non sempre tenere il passo con l’innovazione.

I ricercatori di Wiz Research hanno rilevato una grave vulnerabilità di sicurezza ha colpito DeepSeek, una delle startup cinesi più promettenti nel campo dell’intelligenza artificiale, esponendo un database ClickHouse accessibile pubblicamente.

Il database conteneva oltre un milione di righe di log sensibili, tra cui registri di chat, chiavi API, dettagli di backend e metadati operativi, sollevando serie preoccupazioni sulle pratiche di sicurezza delle aziende AI emergenti.

BREAKING: Internal #DeepSeek database publicly exposed 🚨

Wiz Research has discovered "DeepLeak" – a publicly accessible ClickHouse database belonging to DeepSeek, exposing highly sensitive information, including secret keys, plain-text chat messages, backend details, and logs. pic.twitter.com/C7HZTKNO3p
— Wiz (@wiz_io) January 29, 2025

Il database, ospitato su oauth2callback.deepseek.com:9000e dev.deepseek.com:9000, consentiva un accesso illimitato, consentendo agli utenti non autorizzati di eseguire query SQL e di visualizzare dati interni sensibili.

I ricercatori hanno utilizzato tecniche di ricognizione standard per mappare la superficie di attacco esterna di DeepSeek, identificando inizialmente circa 30 sottodomini. Mentre la maggior parte dei sottodomini sembravano essere host di routine di interfacce di chatbot, pagine di stato e documentazione, ulteriori indagini hanno rivelato due porte aperte (8123 e 9000) che conducevano al database ClickHouse nei seguenti host.

• oauth2callback.deepseek.com:81…
• dev.deepseek.com:8123
• oauth2callback.deepseek.com:90…
• dev.deepseek.com:9000

ClickHouse è un database open source ampiamente utilizzato, progettato per elaborare grandi set di dati in tempo reale. La sua interfaccia HTTP ha consentito ai ricercatori l’accesso ed eseguire comandi SQL, rivelando l’elenco completo delle tabelle archiviate nel database.

Tra questi, la log_streamtabella si distingueva perché conteneva dati altamente sensibili, tra cui registri di conversazioni in chiaro, segreti API e dettagli sui servizi back-end.

La mancanza di autenticazione sul database non solo consentiva l’accesso ai dati sensibili, ma forniva anche il pieno controllo sul database stesso. Wiz Research ha prontamente informato DeepSeek, che ha rapidamente messo in sicurezza il database esposto e ha affrontato il problema. L’azienda non ha ancora rilasciato un commento ufficiale sull’incidente.

Questo incidente mette in luce i rischi concreti legati alla rapida adozione dell’intelligenza artificiale, spesso trascurati a favore di minacce più futuristiche come la manipolazione dei modelli o gli attacchi avversari. La violazione di DeepSeek dimostra che le falle nella sicurezza delle infrastrutture rappresentano una minaccia immediata e tangibile.

“Mentre le organizzazioni corrono per adottare l’intelligenza artificiale, i framework di sicurezza progettati per salvaguardare i dati sensibili vengono spesso trascurati”, ha affermato un portavoce di Wiz Research. “Questo incidente funge da campanello d’allarme per l’intero settore”.

L’esposizione accidentale di dati sensibili non è solo un problema per la singola azienda coinvolta, ma ha implicazioni più ampie sulla fiducia nell’intero ecosistema AI. Senza misure di sicurezza robuste, il rischio di compromettere informazioni proprietarie e dati degli utenti rimane elevato.

Man mano che le tecnologie AI si integrano nei settori più critici dell’economia, le startup e le aziende consolidate devono dare priorità alla sicurezza fin dalla progettazione delle loro infrastrutture. Questo caso non è solo un avvertimento per DeepSeek, ma un segnale per l’intera industria: innovare senza sicurezza significa esporsi a vulnerabilità potenzialmente devastanti.

L'articolo DeepSeek è stata Hackerata! Esposta una grave falla di sicurezza nel database dell’AI proviene da il blog della sicurezza informatica.

I ricercatori di sicurezza di watchTowr Labs hanno rilasciato all’interno del loro canale telegram un Proof Of Concept per lo sfruttamento della vulnerabilità CVE-2024-55591 classificata “Critical” con uno score di 9.6.

Questa vulnerabilità di tipo Authentication Bypass, sfruttabile su FortiOS e FortiProxy non aggiornati, consente ad un attaccante di guadagnare privilegi di super-admin tramite richieste al modulo websocket Node.js.

La CVE è riconosciuta da Fortinet sul proprio sito Product Security Incident Response Team (PSIRT) dove potete trovare gli IOC (indicatori di compromissione), i metodi di mitigazione e la tabella delle versioni di FortiOS e FortiProxy vulnerabili.

I ricercatori di watchTowr hanno condotto un’analisi dettagliata della vulnerabilità e come riportato sul loro blog di sicurezza, hanno dimostrato la fattibilità tecnica di poter guadagnare i privilegi di super-admin su un dispositivo vulnerabile; ha supporto di quanto analizzato hanno pubblicato su GitHUB uno POC scritto in Python per sfruttare la vulnerabilità.

Sempre sul repository GitHUB di watchTowrLABS i ricercatori mettono a disposizione uno script Python per la verifica se un Fortigate o un FortiProxy siano vulnerabili alla CVE-2024-55591.

Le raccomandazioni del produttore ma in generale le best practies sono sempre le stesse: disabilitare l’accesso pubblico all’interfaccia amministrativa del firewall, limitarne l’accesso con ACL o filtro su IP sorgenti, monitorare gli avvisi di sicurezza e applicare le patch e gli aggiornamenti.

ArticWolfLabs già a dicembre 2024 aveva osservato attività sospette sui firewall Fortinet esposti su internet dove i therad actors riuscivano ad avere accesso alle interfacce di management e modificare le configurazione dei firewall. Il 14 gennaio 2025 Fortinet conferma la vulnerabilità.

L’entità del problema non è da sottovalutare al 20 Gennaio 2025 Shadowserver Fondation rileva che nel mondo ci sono circa 50.000 esposti e vulnerabili.

Riferimenti:

• WATCHTOWRLABS: labs.watchtowr.com/get-fortire…
• ARTICWOLFLABS: arcticwolf.com/resources/blog/…
• FORTINET PSIRT: fortiguard.com/psirt/FG-IR-24-…
• GITHUB POC: github.com/watchtowrlabs/forti…
• GITHUB DETECTION TOOL: github.com/watchtowrlabs/forti…

L'articolo Vulnerabilità Critica su FortiOS e FortiProxy: Rilasciate PoC di sfruttamento proviene da il blog della sicurezza informatica.

L’FBI ha sequestrato tre dei principali forum di hacking e criminalità informatica: Nulled.to, Cracked.to e Cracked.io, nell’ambito di un’operazione mirata ai facilitatori del cybercrime. Oltre a questi, le autorità hanno rimosso altri tre domini — StarkRDP.io, Sellix.io e MySellix.io — reindirizzando i loro record DNS ai server dell’FBI.

Ota tali siti un banner con la dicitura: “Questo sito web è stato sequestrato”. Gli avvisi fanno riferimento a un’operazione denominata “Operation Talent”, un’iniziativa internazionale delle forze dell’ordine guidata dall’FBI e supportata da Europol, la Polizia Postale Italiana, la Polizia Federale Australiana e l’Ufficio Federale di Polizia Criminale tedesco.

L’operazione, avviata il 29 gennaio 2025, ha portato al sequestro di diversi domini noti per ospitare attività illecite, tra cui la distribuzione di software craccato, credenziali rubate e strumenti di hacking.

StarkRDP.io, ad esempio, offriva servizi di hosting virtuale per server Windows e Linux, ma veniva anche sfruttato da cybercriminali per ospitare truffe e attacchi informatici.

Gli amministratori di Cracked.to hanno confermato il sequestro tramite il loro canale Telegram, descrivendo l’evento come “un giorno davvero triste per la nostra comunità”.

Nel loro messaggio, hanno dichiarato di essere in attesa di documentazione ufficiale da parte del data center e del registrar del dominio, suggerendo che potrebbero tentare di riemergere su un nuovo dominio.

Al momento, non è chiaro se siano stati effettuati arresti. Tuttavia, il fatto che gli amministratori di Cracked.to risultino ancora attivi indica la possibilità che il forum possa riapparire sotto un’altra identità.

Né l’FBI né altre agenzie statunitensi hanno ancora rilasciato un comunicato ufficiale in merito ai sequestri.

L'articolo L’FBI Demolisce il Cybercrime: Sequestrati Cracked.io, Nulled.to e altri ancora! proviene da il blog della sicurezza informatica.

Guanella Impedance Transformer. (Credit: FesZ Electronics)
Even before entering the mystical realms of UHF design, radio frequency (RF) circuits come with a whole range of fun design aspects as well. A case in point can be found in transmission line transformers, which are commonly used in RF power amplifiers, with the Guanella transformer (balun) being one example. Allowing balanced and unbalanced (hence ‘balun’) systems to interface without issues, they’re both very simple and very complex. This type of transformer and its various uses is explained in a video by [FesZ Electronics], and also the subject of an article by [Dr. Steve Arar] as part of a larger series, the latter of which is recommended to start with you’re not familiar with RF circuitry.

Transmission line transformers are similar to regular transformers, except that the former relies on transmission line action to transfer energy rather than magnetic flux and provides no DC isolation. The Guanella balun transformer was originally described by Gustav Guanella in 1944. Beyond the 1:1 balun other configurations are also possible, which [Dr. Arar] describes in a follow-up article, and which are also covered in the [FesZ] video, alongside the explanation of another use of Guanella transformers: as an impedance transformer. This shows just how flexible transformers are once you can wrap your mind around the theory.

We have previously covered RF amplifier builds as well as some rather interesting balun hacks.

Heading image: The Guanella 1:1 balun. (Credit: Steve Arar)

youtube.com/embed/QAYaetJ1dvM?…

hackaday.com/2025/01/29/using-…

Bene, oggi sono riuscito a completare il profilo e a mettere i tag (public keywords).

Non ho capito a cosa servano le "private keywords" che si trovano in "Settings -> Profile -> Miscellaneous", metto un'immagine per far capire meglio di cosa parli.

Let’s face it—seeing a good tool go to waste is heartbreaking. So when his cordless drill’s motor gave up after some unfortunate exposure to the elements, [Chaz] wasn’t about to bin it. Instead, he embarked on a brave journey to breathe new life into the machine by swapping its dying brushed motor for a sleek brushless upgrade.

Things got real as [Chaz] dismantled the drill, comparing its guts to a salvaged portable bandsaw motor. What looked like an easy swap soon became a true hacker’s challenge: incompatible gear systems, dodgy windings, and warped laminations. Not discouraged by that, he dreamed up a hybrid solution: 3D-printing a custom adapter to make the brushless motor fit snugly into the existing housing.

The trickiest part was designing a speed control mechanism for the brushless motor—an impressively solved puzzle. After some serious elbow grease and ingenuity, the franken-drill emerged better than ever. We’ve seen some brushless hacks before, and this is worth adding to the list. A great tool hack and successful way to save an old beloved drill. Go ahead and check out the video below!

youtube.com/embed/7lnhADnFRoQ?…

hackaday.com/2025/01/29/going-…

Watch here!

by Jeff Feuerzeig

Filmmaker Jeff Feuerzeig chronicles the life of a manic-depressive musician and artist, using a blend of home movies, Johnston's own audiotapes, vintage performances and current footage. Johnston has recorded more than 10 full-length albums and amassed a prolific portfolio of sketches, and has among his supporters Matt Groening, David Bowie, Sonic Youth, Beck, and Tom Waits.

[Stephen] recently wrote in to share his experiments with using the LimeSDR mini to conduct a bit of piracy on the airwaves, and though we can’t immediately think of a legitimate application for spamming the full FM broadcast band simultaneously, we can’t help but be fascinated by the technique. Called the Taylorator, as it was originally intended to carpet bomb the dial with the collected works of Taylor Swift on every channel, the code makes for some interesting reading if you’re interested in the transmission-side of software defined radio (SDR).

The write-up talks about the logistics of FM modulation, and how quickly the computational demands stack up when you’re trying to push out 100 different audio streams at once. It takes a desktop-class CPU to pull it off in real-time, and eats up nearly 4 GB of RAM.

You could use this project to play a different episode of the Hackaday Podcast on every FM channel at once, but we wouldn’t recommend it. As [Stephen] touches on at the end of the post, this is almost certainly illegal no matter where you happen to live. That said, if you keep the power low enough so as not to broadcast anything beyond your home lab, it’s unlikely anyone will ever find out.

peertube.scd31.com/videos/embe…

hackaday.com/2025/01/29/taylor…

This week, Jonathan Bennett, Doc Searls, and Jeff Massie talk about Deepseek, technical solutions to Terms of Service abuse, and more!

youtube.com/embed/p0qZD52pcv8?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/01/29/floss-…

Bambu Labs have been in the news lately. Not because of the machines themselves, but because they are proposing a firmware change that many in our community find restricts their freedom to use their own devices.

What can be done? [Joshua Wise] gave a standout talk on the Design Lab stage at the 2024 Hackaday Superconference where he told the tale of his custom firmware for the Bambu X1 Carbon. He wasn’t alone here; the X1 Plus tale involves a community of hackers working on opening up the printer, but it’s also a tale that hasn’t ended yet. Bambu is striking back.

youtube.com/embed/K4pZ93Ag4UM?…

Classics of Getting Root

But first, the hacks. It took three and a half attacks to get the job done. The Bambu looks like a Linux machine, and it does everything over HTTPS, so that’s a difficult path. But the Bambu slicer software speaks to the printer over a custom API, and since the slicer can print, it must be able to send files to the printer.

Another hacker named [Doridian] had started working on getting in between the slicer and the printer, and the attack starts as every attack does – typing some keywords from the API into the Internet and finding the “confidential” documentation. Since you can download files using this API, you can start to get some binary files off the system. Bambu patched this one. [Doridian] then tried symlinks on an SD card, which worked for a little while, but Bambu patched this one too. Finally, they tried the old Johnny Droptables trick with a filename of a 3D model. This was also quickly patched.

Then [Joshua] got a message on Superbowl Sunday from a total stranger, [Balosh], who claimed he had a bootrom vulnerability that completely hosed the device because it’s baked into the firmware, and that’s an uncloseable door. [Fabian Masterbroek] wrote a kexec loadable module that lets you boot a second kernel from a running one, but it was written for the wrong platform. [Joshua] wrote the platform driver stuff to enable the swapover, shut everything down, and then reboot into a custom kernel.

What To Do When You Get In?

So [Joshua] was in. Now what to do? What features would you add to your own custom Bambu X1 Carbon firmware? Since it’s a Linux device, you might want a modern kernel, with better WiFi support and USB Ethernet. Maybe some security? An improved filesystem?

Here is a reverse-engineering nugget: The original UI is written in QML, which [Joshua] claims is horrible. He then uses Unicorn Engine, which is a patched QEMU that lets him know where all the function calls go, and shows him the way to, for instance, turn on and off the backlight. Now he could write his own system.

Winning the Battle, Not Yet the War

Word of the hacks got out on the Internets and [Joshua] got in touch with folks at Bambu Labs. They worked to a compromise that allowed Bambu to save face – they would allow people to upload their own firmware to the printers: a great victory for hackers that lets us FTP into the devices and print our own files without going through the cloud. All’s well that ends well?

The talk ends with foreshadowing: a cautionary note from back in November 2024. [Joshua] calls it “unusual” that Bambu would simply say “OK, run your own code”. Vendors gotta be vendors, and he predicts that the cat and mouse games will continue. How right he was! But it looks like the game is, for now at least, back in the mouse’s corner.

hackaday.com/2025/01/29/superc…

Though it is many decades since paper tape was commonly used as a data input or storage medium, it still holds a fascination for many who work with computers. Over the years we’ve featured more than one paper tape related project, and the latest to come out way is [ColemanJW2]’s 8-bit ASCII paper tape generator.

It’s natural to expect when talking about a paper tape generator that a machine of some type will emerge, probably with a large reel of tape, a whirring mechanical punch, and a big box of paper confetti. This one however is different, because it exists in software and produces an SVG file to cut the tape with a laser cutter. Common workshop equipment in 2025, but the stuff of science fiction when paper tape was current.

The software is a Python script, which has a friendly GUI. It applies 8-bit ASCII to the tape, and supports control codes and ANSI escape sequences. There’s a very short demonstration video of a tape being cut, which we’ve placed below the break.

If you make any tapes this way, see if you can find a paper tape event badge to read them.

youtube.com/embed/EPgzjeAySPs?…

hackaday.com/2025/01/29/paper-…

Sabato 1 febbraio, alla biblioteca interculturale BiblioBaobab di Bellinzona (Svizzera), riprende la #bibliotecaumana mana #HumanLibrary sul tema "migrazione", in piccolo ovviamente.

Io (Daniela) e altre due persone saremo dei #libriviventi e racconteremo, a chi vorrà ascoltare, la nostra esperienza diretta di migrazione.

Ecco la locandina ufficiale:

e il link al sito della Cooperativa che organizza l'evento (le date purtroppo non sono aggiornate) https://www.cooperativabaobab.ch/Biblioteca-umana-58eb4a00

Recentemente, numerosi utenti di televisori Samsung hanno segnalato un problema curioso ma persistente: i telecomandi vocali, che normalmente riconoscono comandi in diverse lingue, hanno improvvisamente cominciato a rispondere in russo invece che in inglese.

Questo fenomeno (portato all’attenzione di RHC da Alessia Valentini che lo sta riscontrando sul suo Smart TV) è stato riportato da utenti in tutto il mondo, creando confusione e frustrazione. Nonostante abbiano tentato di modificare le impostazioni della lingua attraverso i menu della TV e riavviare i dispositivi, il problema sembra persistere. Molti si chiedono se possa trattarsi di un malfunzionamento software o, più teoricamente, di un attacco informatico mirato.

Il problema sembra aver colpito una vasta gamma di modelli Samsung, con utenti che riportano che il telecomando, che prima capiva perfettamente l’inglese, ora non riesce a comprendere nulla tranne il russo. Alcuni utenti hanno riscontrato che, sebbene la lingua impostata nella TV sia ancora l’inglese, il dispositivo interpreta i comandi vocali come se fossero in russo, visualizzando risposte in questa lingua sullo schermo. La frustrazione è palpabile, con molte persone che lamentano la difficoltà di utilizzare il telecomando per funzioni basilari come cambiare canale o impostare un timer.

Le reazioni online sono state rapide e diffusive, con molte persone che condividono le loro esperienze, creando una sorta di comunità virtuale di utenti Samsung colpiti dal problema.

Nonostante diversi tentativi di risoluzione, come il ripristino delle impostazioni di fabbrica o l’aggiornamento del firmware, molti si chiedono se Samsung sia a conoscenza della questione e se ci siano soluzioni in vista. Alcuni utenti sospettano addirittura che possa trattarsi di un problema causato da un aggiornamento software errato, mentre altri avanzano ipotesi più drastiche, come un possibile hack del sistema. In ogni caso, il problema sembra essere molto più diffuso di quanto si pensasse inizialmente e sta generando preoccupazione tra gli utenti.

Alcuni utenti hanno riportato che, improvvisamente, il loro telecomando con microfono non risponde più. In particolare, la funzionalità di controllo vocale, che consente agli utenti di interagire con il televisore tramite comandi vocali, sembra essere completamente disabilitata. Quando il problema si verifica, nemmeno un reset completo del dispositivo riesce a ripristinare la funzionalità del telecomando. Il problema, infatti, persiste anche dopo aver ripristinato le impostazioni di fabbrica del televisore, suggerendo che non si tratti di un errore del singolo dispositivo, ma di un malfunzionamento più ampio che potrebbe interessare una serie di dispositivi.

Potenziali Cause

Una delle ipotesi più inquietanti che circolano è che questo malfunzionamento potrebbe essere il risultato di un attacco alla supply chain. In pratica, un aggiornamento di qualche libreria potrebbe aver influito su una serie di dispositivi, compresi quelli già distribuiti sul mercato. Le supply chain tecnologiche sono sempre più vulnerabili a questo tipo di minacce, che mirano a manipolare, alterare o danneggiare i componenti hardware e software dei prodotti, senza che l’utente finale ne sia immediatamente consapevole.

In questo caso, il fatto che il problema si verifichi su una serie di dispositivi che risalgono a diversi anni fa potrebbe suggerire che il malfunzionamento non sia legato a un difetto di fabbricazione, ma a un’influenza esterna che ha alterato il comportamento del software o dell’hardware del televisore.

L’assenza di risposte ai tentativi di ripristino dei dati di fabbrica potrebbe indicare che un componente fondamentale per il funzionamento del telecomando è stato compromesso a livello di sistema, probabilmente da un attacco mirato.

Conclusioni

Il caso dei telecomandi con microfono che smettono di funzionare sui televisori Samsung potrebbe essere più complesso di quanto sembri inizialmente. Sebbene un errore software o un guasto hardware siano le spiegazioni più comuni, l’ipotesi di un attacco alla supply chain non può essere esclusa, specialmente in un’epoca in cui le vulnerabilità a livello di approvvigionamento e distribuzione sono in aumento.

Gli utenti che riscontrano il problema dovrebbero continuare a monitorare gli aggiornamenti e, se necessario, contattare il supporto per un’indagine più approfondita.

Al momento, Samsung non ha fornito una spiegazione ufficiale riguardo al problema e non ha ancora reso disponibile una modalità di ripristino per risolvere il malfunzionamento del telecomando vocale.

L'articolo Il Televisore Samsung Parla in Russo! Bug, Supply Chain Attack o vuole farti imparare una lingua? proviene da il blog della sicurezza informatica.

Il 26 gennaio 2025, il Ministero della Difesa italiano è stato bersaglio di un attacco DDoS (Distributed Denial of Service) da parte del Pro-Palestine Hackers Movement (PPHM), un gruppo di hacktivisti noto per colpire istituzioni governative e siti occidentali.

L’attacco, rivendicato dal gruppo su Telegram, è stato attribuito a l collettivo noto come “Mr Hamza”. La schermata condivisa dal gruppo mostra il sito www.difesa.it non accessibile, con l’errore “Ce site est inaccessible”, suggerendo il sovraccarico del server dovuto all’attacco oltre al linkare il checkhost.
Informativa rilevata all’interno del sistema di threat Intelligence di Recorded Future.
Gli attacchi DDoS non alterano i contenuti di un sito, ma ne impediscono l’accesso saturando le risorse del server con un traffico anomalo. Spesso condotti attraverso botnet e strumenti di stress testing, questi attacchi mirano a bloccare i servizi online delle istituzioni colpite.

Defacement del Museo delle Ceramiche Acerbo

Nella stessa giornata, il Museo delle Ceramiche Acerbo, situato a Loreto Aprutino, è stato vittima di un defacement. Questa tecnica di attacco prevede la sostituzione della homepage con messaggi propagandistici.

Il museo, noto per la sua collezione dedicata alla tradizione della ceramica abruzzese, ha visto il proprio sito web modificato con immagini e testi a favore della causa palestinese, firmati dall’hacker DXPLOIT, post pubblicato sul canale telegram di PPHM.

Diversamente dagli attacchi DDoS, il defacement mira a modificare l’aspetto di un sito web, spesso con finalità di propaganda. Per eseguire un defacement, gli hacker sfruttano vulnerabilità nei server o nelle piattaforme CMS, ottenendo accesso ai file del sito e sostituendo i contenuti originali.

Al momento della scrittura dell’articolo, entrambi i siti risultano completamente operativi, a conferma che le problematiche segnalate dai cybervandali sono state risolte dalle rispettive organizzazioni.

Il Threat Actor: Pro-Palestine Hackers Movement (PPHM)

Il Pro-Palestine Hackers Movement (PPHM) è un gruppo di hacktivisti che utilizza il cyber-spazio per promuovere la causa palestinese. Il gruppo è noto per attacchi mirati a siti governativi e istituzionali, principalmente attraverso defacement, attacchi DDoS e data leaks.

Attivo su Telegram, PPHM utilizza il canale per rivendicare gli attacchi, condividere screenshot delle loro azioni e pubblicizzare i risultati delle offensive informatiche. L’attacco al Ministero della Difesa italiano rappresenta una chiara escalation nelle loro attività, colpendo un’istituzione di alto profilo e dimostrando la capacità del gruppo di organizzare operazioni coordinate su più bersagli.

Conclusioni

Gli attacchi a Ministero della Difesa e Museo delle Ceramiche Acerbo evidenziano la crescente attività di hacktivismo contro le istituzioni italiane. Il DDoS contro il Ministero mira a interrompere i servizi, mentre il defacement del Museo ha uno scopo propagandistico.

Questi eventi sottolineano l’importanza di rafforzare la cybersecurity, adottando misure per mitigare gli attacchi DDoS, proteggere i server da intrusioni e garantire la continuità operativa delle istituzioni, sia culturali che governative.

L'articolo Attacco DDoS al Ministero della Difesa e Deface al Museo Di Acerbo: l’azione di PPHM e DXPLOIT in Italia proviene da il blog della sicurezza informatica.

Key global cyberthreat landscape development drivers

Hunt for innovations

Innovations are changing our lives. Today, the world is on the threshold of another technical revolution. Access to new technologies is a ticket to the future, a guarantee of economic prosperity and political sovereignty. Therefore, many countries are looking for their way into the new technological order, investing in promising research and development in a variety of areas: AI and machine learning, quantum computing, optical electronics, new materials, energy sources and types of engines, satellites and telecommunications, genetics, biotechnology and medicine.

In terms of cybersecurity, growing interest in innovation means APTs are focusing on institutions and enterprises involved in new tech research and development. As the demand for the technical know-how grows, elite cybercriminal groups – such as top ransomware gangs and hacktivists – are also joining the game, hunting for the leading innovative enterprises’ trade secrets.

Industrial enterprises should keep in mind that this information might be even easier to access and exfiltrate from the shop floor than from within research lab and office network perimeters. The supply chain and network of trusted partners are also very logical potential targets.

Intentionally created barriers and sanction wars

Increasing geopolitical turbulence, sanction wars, and the artificial restriction of access to efficient technology is boosting the drive to violate the intellectual property rights of leading enterprises. This may lead to the following security risks.

• OT technology developers and suppliers are facing the problem that existing mechanisms built into their products may no longer be effectively safeguarding their intellectual property.
• Сracks, third-party patches, and various other ways to bypass license restrictions, come at the price of increased cybersecurity risks right inside OT perimeter.
• In addition to stealing documentation related to cutting-edge technological developments, attackers will continue to hunt for technical know-how – for example, collecting 3D/physical models and CAD/CAM designs as we saw in the attacks by Librarian Ghouls.
• PLC programs, SCADA projects, and other sources of technological process information stored in OT assets may also become another target for malicious actors.

New technologies mean new cyber risks

When trying something completely new, one should always expect some unexpected consequences in addition to the promised benefits. Today, many industrial enterprises are keeping up with organizations in other sectors (for example, financial or retail) in the implementation of IT innovations, such as augmented reality and quantum computing. As in many other fields, the biggest boost in efficiency is expected from the widespread use of machine learning and AI systems, including their direct application in production – when tweaking and adjusting technological process control. Already today, the use of such systems at certain facilities, such as non-ferrous metallurgy, can increase final product output by an estimated billion dollars per year. Once an enterprise experiences such an increase in efficiency, there’s no going back – such a system will become an essential production asset. This may affect the industrial threat landscape in several ways:

• The improper use of AI technologies in the IT and operational processes of industrial enterprises may lead to the unintended disclosure of confidential information (for example, by being entered into a model training dataset) and to new security threats. The seriousness and likelihood of some of these threats is currently hard to assess.
• Both the AI systems and the unique enterprise data they use (either in its raw form – historical telemetry data – used as a training dataset, or as neural network weights incorporated into the AI model), if they become crucial assets, may now be new cyberattack targets. For example, if the systems or data get locked by the bad guys, they may be impossible to restore. Additionally, attacking these systems may not pose risks to the safety of the victim facility, unlike for traditional OT systems, meaning malicious actors may be more inclined to go for the attack.
• Attackers also do not ignore technical progress; their use of AI at various stages of the killchain (for malicious tools development and social engineering, such as text generation for phishing emails) reduces costs, thereby accelerating the development of cyberthreats. This tendency will certainly evolve in 2025.

Time-tested technologies mean new cyber risks

Just because a system has not been attacked, it doesn’t necessarily mean that it is well protected. It could be that attackers have simply not reached it yet – perhaps because they already had simpler, more reliable and automated ways to perform attacks, or maybe you’ve just been lucky.

The expression “if it ain’t broke, don’t fix it” takes on a special meaning in OT infrastructures. Sometimes systems have been running for years or even decades without any modifications, even without installing critical security patches or changing insecure configurations, such as unnecessary network services, debug interfaces and weak passwords. Sometimes systems are still running in the exact same state as when they were put into operation.

Things get even more complicated when you take into account the poor quality of information about OT product vulnerabilities available from the developers or public sources. Fortunately, malicious actors still very rarely attack industrial assets and industrial automation systems.

Moreover, in addition to unprotected industrial automation systems such as PLCs and SCADA servers, which are in fact very difficult to keep cybersecure, there are many other types of devices and even entire infrastructures that are somehow connected to the technological network. The security of these systems is often unjustifiably overlooked:

• Telecom equipment. Its security is usually considered either the responsibility of the telecom operator or thought to be unnecessary for some reason. For example, mobile base stations and technological networks of mobile operators are believed to be already sufficiently protected from cyberattacks, which is why “no one attacks them”. For some reason, this problem is largely ignored by security researchers as well: while the security of endpoints and their key components, such as modems, is thoroughly studied, there are extremely few in-depth publications on the security of base stations or core network equipment. However, the equipment can obviously be compromised, at least from the operator’s side, for example, during maintenance. After all, telecom operators themselves are far from being immune to cyberattacks, as the story of the Blackwood attacks using the NSPX30 implant shows us. Thus, the following must be kept in mind:
  
  • At the very least, the threat model of industrial enterprises must include “man-in-the-middle” attacks on telecom equipment and the infrastructure of telecom operators.
  • Given how rapidly all kinds of smart remote monitoring and control systems are being implemented – primarily in mining and logistics, but also in other sectors and types of facilities – the priority of securing telecom-related infrastructures will only increase correspondingly. For example, to guarantee the safety of robotized infrastructures and the use of automated transport at facilities, we’re seeing the introduction of wireless communication. Industrial enterprises should clearly invest in telecom security in order to avoid cyberincidents, perhaps as early as this year.

  
  

• The security of smart sensors, meters, measuring and control devices, and other devices in the Industrial Internet of Things is typically neglected by both the enterprises using them and, correspondingly, the developers themselves. However, as the history of FrostyGoop shows, these devices may also become attack targets.
• The connection points of small remote industrial infrastructure facilities typically use inexpensive network equipment, sometimes not even designed for industrial use (for example, SOHO devices). Their cybersecurity can be extremely difficult to keep in good condition, both due to architectural limitations and the complexity of centralized maintenance. At the same time, such devices can be manipulated not only to distribute general-purpose malware or host botnet agents (as in the case of Flax Typhoon/Raptor Train), but also as an entry point into the IT or OT network.
• The Windows OS family has been the most popular platform for workstations and automation system servers for decades. However, in recent years, many industrial enterprises have been increasingly installing Linux-based systems in their OT circuits, for various reasons. One of the decisive arguments in favor of choosing Linux is often the belief that such systems are more resistant to cyberattacks. On the one hand, there is indeed less malware that can run on this OS, and the probability of accidental infection is lower than for Windows OS. On the other hand, protecting Linux systems against a targeted attack is just as difficult, and in some cases even more so. The fact is that:
  
  • Developers of security solutions for Linux have to catch up with solutions protecting Windows infrastructure. For a long time, many functions were not in demand by customers and, therefore, were not implemented. At the same time, implementing new functionality is more expensive because it is necessary to support multiple OS strains developing in parallel, and the integration of security solutions is not a priority for kernel developers. There are two downstream consequences of this: first, a lack of effective standard integration mechanisms, and second, updating the kernel can easily “break” compatibility – and a simple module rebuild may not be enough.
  • On the industrial enterprise side, there are clearly not enough information security specialists who are also Linux experts, so both secure device configuration and monitoring and incident detection may not be that effective.
  • Both Linux OT solutions themselves and their developers often demonstrate insufficient information security maturity and can be an easy target for attackers, as was revealed, for example, during the investigation of a series of Sandworm attacks on Ukrainian critical infrastructure facilities.

  
  

Wrong vendor choice means big trouble

Insufficient investment of product developers or technology providers in their own information security guarantees that their customers will experience incidents. This problem is especially relevant for providers of niche products and services. An illustrative case is the attack on CDK Global, which led to direct losses of its customers exceeding a total of one billion dollars.

The situation for industrial enterprises is complicated by a number of factors. Key among these are:

• Extremely long technology supply chains. Equipment, including automation systems for key production assets, is very complex. An enterprise’s industrial equipment fleet may include both all the main components typical of IT systems and many components created as a result of cooperation between multiple manufacturers of industry-specific technologies. Many of these may be relatively small developers of niche solutions without the necessary resources to satisfactorily ensure their own security and that of their products. Moreover, the installation, initial setup, and regular maintenance of equipment requires the involvement of various third-party specialists, further expanding the attack surface of the supply chain and trusted partners.
• Almost every large industrial organization is its own vendor. The specifics of the particular industry and enterprise require significant modification of ready-made solutions, as well as the development of new automation solutions tailored for the organization. Often, these developments are carried out either within the organization itself or by subsidiaries or related companies. All of this multiplies almost all of the risk factors described above: such developments are rarely carried out with a high level of security maturity, resulting in solutions full of basic vulnerabilities that even mediocre attackers can exploit. Obviously, these security issues are already being used in cyberattacks and will continue to be.

Security by obscurity doesn’t work anymore for OT infrastructures

The availability of so many tools for working with industrial equipment (just count the number of libraries and utilities implementing industrial network protocols posted on GitHub) makes developing and implementing an attack on an industrial enterprise’s main production assets significantly easier than just a few years ago. In addition, industrial enterprises themselves continue to evolve – over the past few years, we’ve seen big efforts to not only automate production, but also to inventory and document systems and processes. Now, to impact an industrial facility on the cyber-physical level, attackers no longer need to carefully study textbooks on the particular type of protective systems (such as SIS or circuit/relay protection) basics and to involve external experts in the particular industry. All the necessary information is now available in convenient digital form in the organization’s administrative and technological network. We have seen cases of attackers telling journalists that after they entered the victims’ network perimeter they studied internal facility’s safety-related documentation for a long time before choosing which OT systems to attack, in order to avoid putting employee’s lives at risk or polluting the environment as a result of the attack.

ics-cert.kaspersky.com/publica…

Il 28 gennaio, Zhou Hongyi, fondatore di Qihoo 360 e Deepseek, ha pubblicato un video in cui denuncia una serie di attacchi informatici su larga scala contro la società cinese di intelligenza artificiale DeepSeek, causando ripetuti blocchi dei suoi servizi.

Il video di Zhou Hongyi fondatore di DeepSeek

Zhou Hongyi ha affermato che alcuni paesi, vedendosi superati dalla Cina nel campo dell’intelligenza artificiale, hanno lanciato attacchi su larga scala utilizzando hacker statali contro la start-up DeepSeek.

Secondo Zhou Hongyi, questo attacco informatico su larga scala a DeepSeek ha fatto saltare solo la sala computer dedicata alle Ai di Qihoo 360. Infatti ha riportato che “L’organizzazione di hacker in grado di penetrare i server di Qihoo 360 non è ancora nata. Se non sei capace, non puoi sfidare”.

Hongyi ha detto che avrebbe rintracciato l’origine dell’aggressore e avrebbe fatto vedere al mondo quale paese e organizzazione statale ha lanciato l’attacco informatico. Master Tan ha consultato gli esperti di sicurezza di Qihoo 360 e ha appreso che gli indirizzi IP degli attacchi informatici di DeepSeek dai quali erano stati sferrati gli attacchi erano negli Stati Uniti.

Il servizio AI di DeepSeek ha subito diversi tempi di inattività nell’arco di 24 ore. La pagina sullo stato del servizio del sito Web ufficiale di DeepSeek mostra: “I servizi online di DeepSeek sono stati recentemente soggetti ad attacchi dannosi su larga scala. La registrazione potrebbe essere sospesa. Attendi e riprova. Gli utenti registrati possono accedere normalmente, grazie per la comprensione e il supporto.”

L’azienda di sicurezza informatica Qihoo 360

Qihoo 360 (nome completo Qihoo 360 Technology Co. Ltd.) è una società cinese di sicurezza informaticanota soprattutto per i suoi software antivirus 360 Safeguard e 360 Mobile Safe, il browser 360 Secure Browser, la piattaforma di distribuzione digitale 360 Mobile Assistant, telecamere e sistemi di videosorveglianza con crittografia a livello bancario.

È stata fondata da Zhou Hongyi (lo stesso fondatore di DeepSeek) e Qi Xiangdong nel giugno 2005. Qihoo 360 afferma di avere circa 500 milioni di utenti per i suoi prodotti Internet Security e oltre 600 milioni di utenti per i suoi prodotti Mobile Antivirus a giugno 2014

Qihoo 360 ha avviato nel 2005 le sue attività commerciali vendendo software antivirus di terze parti online, ma poco dopo si sono resi conto del potenziale del modello di business di tipologia freemium nel mercato cinese ed hanno iniziato a fornire gratuitamente i propri prodotti antivirus.

In un breve periodo di tempo, i prodotti per la sicurezza di Qihoo 360 hanno guadagnato popolarità e quote di mercato in Cina.

Le dichiarazioni USA a riguardo

Dall’altra parte dello scacchiere geopolitico, David Sacks, il consigliere per l’intelligenza artificiale nominato da Trump alla Casa Bianca, ha affermato in un’intervista ai media che DeepSeek “probabilmente” ha rubato la proprietà intellettuale americana per crescere e ha riportato che c’erano “prove sostanziali” che suggerivano che Deepseek avesse “distillato la conoscenza dai modelli di OpenAI e non credo che OpenAI ne sia molto felice”.

Il 28 gennaio, molti funzionari statunitensi hanno risposto all’impatto di DeepSeek sugli Stati Uniti, affermando che DeepSeek era un “furto” e che stavano conducendo un’indagine di sicurezza nazionale sul suo impatto. Proprio il giorno prima, il presidente degli Stati Uniti Trump aveva definito DeepSeek un risultato tecnico molto positivo.

La guerra per l’influenza dell’AI è appena iniziata

L’attacco informatico su larga scala contro DeepSeek non è solo un evento di cybersicurezza, ma rappresenta un grave colpo all’influenza delle tecnologie americane di intelligenza artificiale nel mondo occidentale. La Cina, nonostante le sanzioni imposte dagli Stati Uniti, ha dimostrato di poter sviluppare soluzioni AI avanzate, adattandole e migliorandole per renderle ancora più efficienti ed efficaci.

A differenza di modelli chiusi come quelli di OpenAI, DeepSeek adotta un approccio open-source, offrendo maggiore trasparenza e accessibilità. Il fatto che possa essere installato direttamente nei PC degli utenti tramite l’app Ollama e integrato in numerose applicazioni rappresenta una minaccia diretta al monopolio delle big tech americane nel settore AI.

Ora il mondo intero si domanda quali saranno le prossime mosse. Se verrà confermato il coinvolgimento di attori statali nell’attacco a DeepSeek, ci troveremo di fronte a una nuova escalation nella guerra tecnologica globale. In questo scenario, il ruolo della diplomazia sarà cruciale: solo un confronto diretto tra il presidente Trump e Xi Jinping potrà evitare che questa guerra di influenza si trasformi in un conflitto senza precedenti nel cyberspazio.

L'articolo Il Fondatore di DeepSeek parla dell’attacco Hacker: La guerra per l’influenza dell’AI è appena iniziata! proviene da il blog della sicurezza informatica.