When you think of attacking or defending computer systems, you probably think of software viruses and the corresponding anti-virus software. But MIT’s 6.5950 class teaches secure hardware design — how to attack and defend CPUs from bad actors. Interested? The course is open source, so you can follow along as long as you don’t mind not getting a grade.

Browsing some of the lecture slides shows that the material isn’t as stuffy as you might imagine. A slide about side channel attacks, for example, features an article called “And Bomb the Anchovies,” which says that Washington DC pizza places know when big news is about to break because pizza delivery to places like the White House or the Pentagon trend upward (something spies call pizza-int, by the way).

Even if you don’t have a burning desire to design more secure hardware, some of the lecture slides make for an interesting flip through on a rainy weekend day. For example, the charts about RowHammer (“RowHammer in One Sentence”) is a great explanation about how software can cause DRAM failures to attack a computer. We only wished they’d identified companies A, B, and C in their study. There are also labs and they politely clarify what setup you need to do each lab (typically, just a Linux server, although some you can do with just a browser).

One of the great things about the Internet is that you can virtually audit classes from anywhere in the world, often for free. MIT is always up to something interesting.

hackaday.com/2025/04/03/mit-wa…

Sono stati scoperti nell’App Store di Apple cinque servizi VPN collegati a strutture militari cinesi. Ciò è stato rivelato come risultato di una indagine congiunta del Tech Transparency Project con il Financial Times. Secondo gli analisti, le app sono sviluppate da aziende legate a Qihoo 360, un colosso informatico cinese che nel 2020 è stato colpito dalle sanzioni statunitensi per i suoi legami con l’esercito cinese.

I servizi VPN si propongono come strumenti per la protezione della privacy su Internet. Permettono, ad esempio, di nascondere l’attività di rete ai provider Internet e di crittografare il traffico durante la connessione a reti pubbliche. Tuttavia, la sicurezza di tali applicazioni dipende direttamente dall’affidabilità dei loro sviluppatori. Se un’azienda raccoglie i dati degli utenti, una VPN può diventare uno strumento di sorveglianza.

Secondo il rapporto, l’elenco delle applicazioni discutibili includeva Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN e Signal Secure VPN (non correlato a Signal Messenger). Tre di questi (Turbo VPN, VPN Proxy Master e Thunder VPN) sono stati installati complessivamente più di un milione di volte. Le aziende dietro questi prodotti sono strettamente collegate a Qihoo 360. Inoltre, è stato rivelato che una delle sussidiarie degli sviluppatori, Guangzhou Lianchuang, sta attivamente cercando specialisti con conoscenza della cultura americana per analizzare i dati degli utenti.

A seguito dell’appello dei giornalisti del Financial Times, Apple ha rimosso due app dall’App Store: Thunder VPN e Snap VPN. Il destino degli altri resta incerto. Allo stesso tempo, Apple ha dichiarato di monitorare rigorosamente la conformità delle applicazioni VPN alle sue policy e di rimuoverle immediatamente dallo store alla minima discrepanza.

Qihoo 360, formalmente nota come 360 ​​Security Technology, è presente nell’elenco delle aziende affiliate all’esercito cinese stilato dal Dipartimento della Difesa degli Stati Uniti. Sebbene i proprietari formali delle app siano registrati presso entità giuridiche diverse, l’indagine ha stabilito il loro collegamento con Qihoo attraverso una rete di società e sviluppatori affiliati.

Gli esperti sottolineano che utilizzare servizi VPN sotto la giurisdizione cinese può essere pericoloso, poiché la legge cinese impone agli sviluppatori di conservare i registri degli utenti e di fornirli su richiesta delle autorità. È per questo motivo che nel 2017 Apple ha già effettuato una pulizia su larga scala dell’App Store, rimuovendo tutti i servizi VPN che non rispettavano questi standard.

La situazione attuale solleva interrogativi non solo sulla trasparenza degli sviluppatori, ma anche sulla qualità della revisione delle app sulle piattaforme Apple e Google. Nonostante le misure di sicurezza dichiarate, i servizi inaffidabili continuano a raccogliere milioni di installazioni.

Non è ancora noto se Apple adotterà ulteriori misure sulle app rimanenti. Nel frattempo, si ricorda agli utenti che una VPN affidabile non dovrebbe solo dichiarare di essere sicura, ma anche essere verificata in modo indipendente.

L'articolo Scandalo VPN: Alcune App sull’Apple Store erano legate alla sorveglianza del governo cinese! proviene da il blog della sicurezza informatica.

L’attrice e artista Joanne Chu ha trovato accidentalmente dei deepfake di se stessa online semplicemente cercando il suo nome su Google. Voleva vedere se il suo lavoro o il suo sito web venivano mostrati. Ma invece ha visto video su siti porno che mostravano il suo volto e il suo nome completo, e nei titoli c’erano anche parole razziste.

Tutto è iniziato intorno a maggio 2024. Poi pensò che si trattava solo di un incidente isolato e che sarebbe finito rapidamente. Ma i video continuavano ad apparire. Erano sempre più numerosi. E poi sospettò che qualcuno che conosceva la stesse seguendo. Tutti i video sono stati pubblicati dalla stessa persona con il nickname “Ron“. Ha creato contenuti con il suo volto, sostituendo le attrici reali con l’aiuto delle reti neurali. In seguito Chu venne a sapere che lo stalker aveva realizzato più di 2.000 video di questo tipo e li aveva distribuiti su molti siti web e persino sui social media.

Ha scritto reclami e ha provato a cancellare il video. Le sue amiche, che avevano vissuto la stessa esperienza, le consigliarono di ignorarla. Ma ad agosto il contenuto era diventato così voluminoso che la donna si è rivolta all’investigatore online Charles DeBarber, che in precedenza aveva aiutato altre vittime di deepfake, per chiedere aiuto. L’esperto ha osservato che ormai chiunque può realizzare un deepfake: la tecnologia è diventata molto accessibile. E anche se le leggi non riescono a tenere il passo con questi casi, questi si verificano sempre più spesso.

Nel frattempo, lo stalker continuava a scrivere a Chu. La insultò, la implorò di perdonarlo, la chiamò la sua “dea”. Su Instagram, “Ron” ha pubblicato foto e immagini deepfake, ha affermato di essere un fan e si è offerto di aprire un OnlyFans per conto di Chu. “Ron” ha scritto che stava guadagnando soldi con i deepfake che raffiguravano il suo volto e ha definito la cosa “arte”. Su Facebook, ha inviato lunghi messaggi in cui diceva di amare la sua “immagine virtuale” e di non essere interessato a Chu nella vita reale.

“Ron” ha addirittura ammesso di aver messo una maschera con il suo volto alla sua ragazza. I messaggi contenevano non solo confessioni bizzarre, ma anche frasi razziste e minacce. A un certo punto, ha scritto che la stava “rendendo immortale” e ha chiesto il permesso di continuare a pubblicare “immagini” di lei. Chu rispondeva occasionalmente ai messaggi, nella speranza di ottenere prove da inviare alla polizia. Ma non ha rivelato nulla di specifico.

A settembre lo stalker ha cancellato i suoi account, ma è ricomparso a ottobre con un altro nome e ha ricominciato tutto da capo. “Ron” ha addirittura utilizzato il nome cinese Chu, il che è risultato particolarmente offensivo per la donna, che da anni combatte l’oppressione delle donne asiatiche. Nei nuovi video, il volto di Chu è sovrapposto ai corpi degli adolescenti, causando ancora più ansia.

Successivamente, su Instagram è apparso un utente che ha scritto che “Ron” si era tolto la vita e che la colpa era della stessa Chu. L’utente ha difeso il comportamento di “Ron”, definendolo un “artista”. Nel corso di 10 mesi, Chu ha scoperto sempre più account che pubblicavano deepfake con il suo volto e il suo nome completo. Grazie all’aiuto di DeBarber, parte del contenuto è stato rimosso e ora il suo nome non compare più così spesso sui siti porno. Ma non tutto è scomparso: una parte è ancora online. Ma la paura rimaneva.

La storia di Chu dimostra come la tecnologia possa essere utilizzata per atti di bullismo distruttivi e duraturi. I deepfake non sono più solo uno scherzo o un falso su Internet. Questa è una forma di reato. E finora non esiste un modo affidabile per proteggere le vittime, né dalle leggi né dalle piattaforme. E le donne continuano a trovarsi ad affrontare questa situazione sempre più spesso, semplicemente perché hanno ottenuto successo e visibilità su Internet.

L'articolo Una attrice trova 2.000 video deepfake di se stessa online: l’incubo di Joanne Chu proviene da il blog della sicurezza informatica.

Eh sì amici miei, non lo sapevate, ma siamo i peggiori.

Siamo delle bruttissime persone. Orribili. Così raccapriccianti e temibili da farci definire "i peggiori" da parte di Trump.

Peggiori perché?

Perché abbiamo osato dire che, se ci avesse imposto dei dazi, li avremmo messi a nostra volta. E così, come se niente fosse, Trump ci ha messi tra i peggiori, affibbiandoci dazi del 20%, e ci è andata pure bene rispetto alla Cina che ne subirà il 30%.

Quindi, ricapitoliamo: è come se io dicessi a qualcuno che sto per dargli un pugno. Questo mi risponde che se glielo do me ne darà uno anche lui, e decido che l'altro è violento. E così, per difendermi, gli do un pugno per primo.
Non fa una grinza, che ne dite?

Il problema è che in questa sagra delle post-verità che è diventato il mondo, si rischia che chi vedrà la cosa a posteriori pensi davvero che il violento non sarei io, ma l'altro.

Comunque io, se fossi in voi, mi vergognerei un po'. Prendercela così tanto con un pover'uomo anziano (Trump) che, evidentemente, ha ormai varie rotelle fuori posto.

Cioè, non vi fate un po' schifo da soli, quando vi guardate allo specchio? Da oggi, io sì, perché sono tra i peggiori. Mica i terroristi, o chi invade un Paese straniero.

Noi, i peggiori.

#trump #dazi #tariffs #boycottusa #USA #tariffswar #guerradeidazi #Politica

S/Sgt Betty Vine-Stevens, Washington DC, May 1945.
On 31 March of this year we had to bid farewell to Charlotte Elizabeth “Betty” Webb (née Vine-Stevens) at the age of 101. She was one of the cryptanalysts who worked at Bletchley Park during World War 2, as well as being one of the few women who worked at Bletchley Park in this role. At the time existing societal biases held that women were not interested in ‘intellectual work’, but as manpower was short due to wartime mobilization, more and more women found themselves working at places like Bletchley Park in a wide variety of roles, shattering these preconceived notions.

Betty Webb had originally signed up with the Auxiliary Territorial Service (ATS), with her reasoning per a 2012 interview being that she and a couple of like-minded students felt that they ought to be serving their country, ‘rather than just making sausage rolls’. After volunteering for the ATS, she found herself being interviewed at Bletchley Park in 1941. This interview resulted in a years-long career that saw her working on German and Japanese encrypted communications, all of which had to be kept secret from then 18-year old Betty’s parents.

Until secrecy was lifted, all her environment knew was that she was a ‘secretary’ at Bletchley Park. Instead, she was fighting on the frontlines of cryptanalysis, an act which got acknowledged by both the UK and French governments years later.

Writing The Rulebook

Enigma machine
Although encrypted communications had been a part of warfare for centuries, the level and scale was vastly different during World War 2, which spurred the development of mechanical and electronic computer systems. At Bletchley Park these were the Bombe and Colossus computers, with the former being an electro-mechanical system. Both were used for deciphering German Enigma machine encrypted messages, with the tube-based Colossus taking over starting in 1943.

After enemy messages were intercepted, it was the task of these systems and the cryptanalysis experts to decipher them as quickly as possible. With the introduction of the Enigma machine by the Axis, this had become a major challenge. Since each message was likely to relate to a current event and thus time-sensitive, any delay in decrypting it would render the resulting decrypted message less useful. Along with the hands-on decrypting work, there were many related tasks to make this process work as smoothly and securely as possible.

Betty’s first task at Bletchley was to do the registering of incoming messages, which she began with as soon as she had been subjected to the contents of the Official Secrets Act. This forbade her from disclosing even the slightest detail of what she did or had seen at Bletchley, at the risk of severe punishment.

As was typical at Bletchley Park, each member of the staff there was kept as much in the dark of the whole as possible for operational security reasons. This meant that of the thousands of incoming messages per day, each had to be carefully kept in order and marked with a date and obfuscated location. She did see a Colossus computer once when it was moved into one of the buildings, but this was not one of her tasks, and snooping around Bletchley was discouraged for obvious reasons.

Paraphrasing

The Bletchley Park Mansion where Betty Webb worked initially before moving to Block F, which is now demolished. (Credit: DeFacto, Wikimedia)
Although Betty’s German language skills were pretty good thanks to her mother’s insistence that she’d be able to take care of herself whilst travelling on the continent, the requirements for the translators at Bletchley were much more strict, and thus eventually she ended up working in the Japanese section located in Block F. After decrypting and translating the enemy messages, the texts were not simply sent to military headquarters or similar, but had to be paraphrased first.

The paraphrasing task entails pretty much what it says: taking the original translated message and paraphrasing it so that the meaning is retained, but any clues about what the original message was from which it was paraphrased is erased. In the case that such a message then falls into enemy hands, via a spy at HQ, it is made much harder to determine where this particular information was intercepted.

Betty was deemed to be very good at this task, which she attributed to her mother, who encouraged her to relate stories in her own words. As she did this paraphrasing work, the looming threat of the Official Secrets Act encouraged those involved with the work to not dwell on or remember much of the texts they read.

In May of 1945 with the war in Europe winding down, Betty was transferred to the Pentagon in the USA to continue her paraphrasing work on translated Japanese messages. Here she was the sole ATS girl, but met up with a girl from Hull with whom she had to share a room, and bed, in the rundown Cairo hotel.

With the surrender of Japan the war officially came to an end, and Betty made her way back to the UK.

Secrecy’s Long Shadow

When the work at Bletchley Park was finally made public in 1975, Betty’s parents had sadly already passed away, so she was never able to tell them the truth of what she had been doing during the war. Her father had known that she was keeping a secret, but because of his own experiences during World War 1, he had shown great understanding and appreciation of his daughter’s work.

After keeping her secrets along with everyone else at Bletchley, the Pentagon and elsewhere, Betty wasn’t about to change anything about this. Her husband had never indicated any interest in talking about it either. In her eyes she had just done her duty and that was good enough, but when she got asked to talk about her experiences in 1990, this began a period in which she would not only give talks, but also write about her experiences. In 2015 Betty was appointed a Member of the Order of the British Empire (MBE) and in 2021 as a Chevalier de la Légion d’Honneur (Knight of the Legion of Honour) in France.

Today, as more and more voices from of those who experienced World War 2 and who were involved the heroic efforts to stop the Axis forces fall silent, it is more important than ever to recognize their sacrifices and ingenuity. Even if Betty Webb didn’t save the UK by her lonesome, it was the combined effort from thousands of individuals like her that cracked the Enigma encryption and provided a constant flow of intel to military command, saving countless lives in the process and enabling operations that may have significantly shortened the war.

Top image: A Colossus Mark 2 computer being operated by Dorothy Du Boisson (left) and Elsie Booker (right), 1943 (Credit: The National Archives, UK)

hackaday.com/2025/04/03/rememb…

Gli esperti hanno scoperto una piattaforma PhaaS (phishing-as-a-service) chiamata Lucid che ha attaccato 169 organizzazioni in 88 paesi utilizzando messaggi inviati tramite iMessage (iOS) e RCS (Android).

Gli analisti di Prodaft riferiscono che Lucid è nata a metà del 2023 ed è gestita da hacker cinesi del gruppo XinXin (noto anche come Black Technology). Lucid viene venduto ad altri aggressori tramite abbonamento, dando loro accesso a 1.000 domini di phishing, siti di phishing generati automaticamente e strumenti di invio di spam di livello professionale.

Si nota inoltre che in precedenza XinXin utilizzava la piattaforma Darcula per le sue operazioni, il che indica una potenziale connessione tra le due piattaforme PhaaS. Gli abbonamenti Lucid vengono venduti tramite un canale Telegram dedicato (con oltre 2.000 membri) e vengono forniti ai clienti con licenze settimanali. XinXin sostiene di inviare oltre 100.000 messaggi di phishing al giorno a potenziali vittime tramite Rich Communication Services (RCS) e Apple iMessage. Poiché i messaggi sono protetti dalla crittografia end-to-end, è possibile aggirare i filtri antispam.

“La piattaforma utilizza un meccanismo automatizzato per effettuare attacchi, distribuendo siti di phishing personalizzati, i cui link vengono distribuiti principalmente tramite esca SMS”, scrive Prodaft. “Per migliorare l’efficienza, Lucid sfrutta le tecnologie Apple iMessage e Android RCS per aggirare i tradizionali filtri antispam e migliorare significativamente la recapitabilità e l’efficacia.”

Per inviare messaggi, gli operatori Lucid utilizzano grandi quantità di dispositivi iOS e Android. Per lavorare con iMessage vengono utilizzati ID Apple temporanei, mentre per RCS gli aggressori sfruttano errori specifici nella convalida del mittente per determinati operatori.

Le campagne di phishing prendono di mira principalmente i paesi europei, il Regno Unito e gli Stati Uniti. I messaggi di phishing sono solitamente camuffati da notifiche di consegna, avvisi fiscali, notifiche di pagamento del parcheggio.

Ciò comporta l’utilizzo di tutti i loghi e marchi necessari, nonché del linguaggio appropriato, per soddisfare il target demografico e filtrare le vittime in base alla geolocalizzazione.

Quando le vittime cliccano sui link di phishing, vengono reindirizzate a false landing page che si spacciano per siti web governativi o del settore privato, tra cui USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London e altri.

Queste pagine di phishing sono progettate per rubare informazioni personali e finanziarie, tra cui nomi completi, indirizzi e-mail, indirizzi fisici e dati delle carte di credito. Lucid offre ai propri clienti un validatore di carte bancarie affinché gli aggressori possano verificare immediatamente i dati rubati.

Le carte funzionanti vengono poi vendute ad altri criminali informatici o utilizzate per scopi fraudolenti.

L'articolo Phishing come se non ci fosse un domani! Arriva Lucid PhaaS, la piattaforma cinese per truffe globali proviene da il blog della sicurezza informatica.

La biografia definitiva di Robert Johnson. La mia recensione su Free Zone Magazine.
#libri #biografie #blues #RobertJohnson

Bruce Conforth, Gayle Dean Wardlow - Il diavolo, probabilmente. Vita di Robert Johnson | FREE ZONE MAGAZINE freezonemagazine.com/articoli/…

Bruce Conforth, Gayle Dean Wardlow - Il diavolo, probabilmente. Vita di Robert Johnson | FREE ZONE MAGAZINE

Robert Johnson è un bluesman fondamentale, e questo libro fa pulizia degli aspetti mitologici per approfondire il musicista.

^{FREE ZONE MAGAZINE}

It’s not often you’ll see us singing the praises of Microsoft on these pages, but credit where credit is due, this first-person account of how the software giant got its foot in the proverbial door by Bill Gates himself is pretty slick.

Now it’s not the story that has us excited, mind you. It’s the website itself. As you scroll down the page, the text and images morph around in a very pleasing and retro-inspired way. Running your cursor over the text makes it flip through random ASCII characters, reminding us a bit of the “decryption” effect from Sneakers. Even the static images have dithering applied to them as if they’re being rendered on some ancient piece of hardware. We don’t know who’s doing Billy’s web design, but we’d love to have them come refresh our Retro Edition.

Presentation aside, for those who don’t know the story: back in 1975, Gates and Paul Allen told the manufacturer of the Altair 8800 that they had a version of BASIC that would run on the computer and make it easier for people to use. Seeing the potential for increased sales, the company was very interested, and asked them to come give a demonstration of the software in a few weeks.

There was just one problem — Bill and Paul lied. They had never even seen an Altair in person, let alone wrote any code for one. So they set off on a mad dash to complete the project in time, with Allen famously still working on the code on the plane as they flew to the meeting. As you’ve probably guessed, they ended up pulling it off, and the rest is history.

At the very end of the page, you can download the actual source code for Altair BASIC that Gates and Allen co-delivered, presented as scans of the original printout. A little light reading as you wait to find out if that latest Windows update that’s installing is going to tell you that your machine is too old to use anymore.

hackaday.com/2025/04/03/a-very…

Mozilla ha rilasciato ufficialmente Firefox 137, risolvendo numerose vulnerabilità di sicurezza di elevata gravità che potrebbero consentire ad aggressori di eseguire codice arbitrario, innescare condizioni di negazione del servizio o elevare i privilegi sui sistemi interessati.

Questo aggiornamento di sicurezza critico, annunciato il 1° aprile 2025, corregge diversi bug di sicurezza della memoria e vulnerabilità di tipo use-after-free che presentavano rischi significativi per gli utenti delle versioni precedenti. La vulnerabilità più preoccupante corretta in questa versione è CVE-2025-3028, scoperta da Ivan Fratric di Google Project Zero.

Questa vulnerabilità ad alto impatto di tipo use-after-free potrebbe essere attivata quando il codice JavaScript viene eseguito durante la trasformazione di un documento con XSLTProcessor.

Se sfruttata, questa falla potrebbe consentire agli aggressori di eseguire codice arbitrario sul sistema della vittima. Il difetto interessava le versioni di Firefox precedenti alla 137, le versioni di Firefox ESR precedenti alla 115.22 e 128.9 e le versioni di Thunderbird precedenti alla 137 e 128.9. Mozilla lo ha risolto in Firefox 137 migliorando la gestione della memoria durante l’elaborazione XSLT.

Mozilla ha inoltre risolto il bug CVE-2025-3030, un bug critico per la sicurezza della memoria presente in Firefox 136 e altri prodotti Mozilla. Secondo i ricercatori di sicurezza Sylvestre Ledru, Paul Bone e il Mozilla Fuzzing Team, questi bug hanno evidenziato prove di corruzione della memoria e potrebbero essere potenzialmente sfruttati per eseguire codice arbitrario con un certo sforzo.

Le correzioni in Firefox 137 e Thunderbird 137 includono il rafforzamento dei controlli di sicurezza del compilatore JIT e la risoluzione delle condizioni di competizione nella gestione della memoria.

L'articolo Firefox 137 corregge bug pericolosi: Aggiorna subito per non essere a rischio! proviene da il blog della sicurezza informatica.

You can salvage lithium 18650 cells from all sorts of modern gadgets, from disposable vapes to cordless power tools. The tricky part, other than physically liberating them from whatever they are installed in, is figuring out if they’re worth keeping or not. Just because an 18650 cell takes a charge doesn’t necessarily mean it’s any good — it could have vastly reduced capacity, or fail under heavy load.

If you’re going to take salvaging these cells seriously, you should really invest in a charger that is capable of running some capacity tests against the cell. Or if you’re a bit more adventurous, you can build this “Battery Health Monitor” designed by [DIY GUY Chris]. Although the fact that it can only accept a single cell at a time is certainly a limitation if you’ve got a lot of batteries to go though, the fact that it’s portable and only needs a USB-C connection for power means you can take it with you on your salvaging adventures.

The key to this project is a pair of chips from Texas Instruments. The BQ27441 is a “Fuel Gauge” IC, and is able to determine an 18650’s current capacity, which can be compared to the cell’s original design capacity to come up with an estimate of its overall health. The other chip, the BQ24075, keeps an eye on all the charging parameters to make sure the cell is being topped up safely and efficiently.

With these two purpose-built chips doing a lot of the heavy lifting, it only takes a relatively simple microcontroller to tie them together and provide user feedback. In this case [DIY GUY Chris] has gone with the ATmega328P, with a pair of addressable WS2812B LED bars to show the battery’s health and charge levels. As an added bonus, if you plug the device into your computer, it will output charging statistics over the serial port.

The whole project is released under the MIT license, and everything from the STL files for the 3D printed enclosure to the MCU’s Arduino-flavored firmware is provided. If you’re looking to build one yourself, you can either follow along with the step-by-step assembly instructions, or watch the build video below. Or really treat yourself and do both — you deserve it.

If your battery salvaging operation is too large for a single-cell tester, perhaps it’s time to upgrade to this 40-slot wall mounted unit.

youtube.com/embed/RCJagutQ1Ck?…

hackaday.com/2025/04/03/handhe…

Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattaforme online di sfruttamento sessuale minorile. L’operazione ha condotto a 79 arresti e alla protezione di 39 bambini in tutto il mondo.

In un’azione coordinata senza precedenti, le autorità di oltre 35 paesi hanno messo a tacere Kidflix, una delle più grandi piattaforme pedofile al mondo, nell’ambito di un’operazione internazionale contro lo sfruttamento sessuale dei minori.

L’indagine, supportata da Europol e guidata dalla Polizia Criminale Statale della Baviera (Bayerisches Landeskriminalamt) insieme all’Ufficio Centrale Bavarese per la Repressione dei Reati Informatici (ZCB), ha dimostrato ancora una volta come la cooperazione transfrontaliera sia essenziale nella lotta contro il crimine.

Un Successo Operativo su Scala Globale

Tra aprile 2022 e marzo 2025, ben 1,8 milioni di utenti in tutto il mondo si sono collegati alla piattaforma, rendendola un vero e proprio punto di riferimento per il traffico illecito di materiale pedopornografico. L’11 marzo 2025, le autorità tedesche e olandesi hanno sequestrato il server che, all’epoca, ospitava circa 72.000 video, dando il via a una serie di operazioni che hanno portato all’identificazione di quasi 1.400 sospettati.

Fino ad oggi, 79 individui sono stati arrestati per aver condiviso e distribuito CSAM, e alcuni di loro sono stati coinvolti non solo nel caricamento e nella visione dei video, ma anche in veri e propri abusi sui minori. L’indagine, tuttora in corso, continua a far luce su questa rete criminale che sfrutta la tecnologia per alimentare una delle forme più efferate di sfruttamento.

Una Piattaforma dal Doppio Volto

Kidflix, nata nel 2021 dall’iniziativa di un criminale informatico, ha rapidamente guadagnato popolarità tra i pedofili grazie a un modello di business innovativo e spregiudicato. La piattaforma non si limitava a consentire il download di CSAM: offriva anche la possibilità di trasmettere in streaming file video, con sistemi di pagamento basati su criptovalute convertite in token. Gli utenti potevano guadagnare token caricando contenuti, verificando titoli e descrizioni, e assegnando categorie ai video, che venivano poi resi disponibili in versioni di bassa, media e alta qualità.

Secondo le autorità, su Kidflix sono stati caricati e condivisi ben 91.000 video unici, per una durata complessiva di 6.288 ore, con una media di circa 3,5 nuovi video ogni ora. Questi numeri preoccupanti evidenziano quanto la piattaforma abbia facilitato e amplificato il traffico di materiale illecito, spesso precedentemente sconosciuto alle forze dell’ordine.

Il Ruolo Cruciale dell’Europol e una lezione per il futuro

L’operazione, denominata “Stream“, ha segnato un punto di svolta nella lotta contro lo sfruttamento sessuale dei minori online, rappresentando la più grande azione di questo genere mai condotta da Europol.

Gli analisti del Centro Europeo per la Criminalità Informatica (EC3) hanno fornito un supporto operativo fondamentale, analizzando migliaia di video e incrociando dati in tempo reale per facilitare l’indagine.

La lotta contro il crimine informatico richiede unità, determinazione e una vigilanza costante. La vicenda di Kidflix è un monito e un invito a non abbassare mai la guardia: proteggere i bambini è una responsabilità che riguarda ognuno di noi.

L'articolo Kidflix è crollato! La piattaforma dell’orrore è stata smantellata: 79 arresti e 39 bambini salvati proviene da il blog della sicurezza informatica.

Siamo ormai nel 2025 ed è ora di aggiornare anche i teoremi scientifici più blasonati.

Il gatto di Schroedinger non è più attuale; passiamo al foglietto illustrativo di Schroedinger.

Si trova sia a destra che a sinistra nella confezione del farmaco, finché non apri la scatola: allora sarai certo che si trova nel lato che hai aperto.

In sostanza: non importa quante volte giri la scatola o in che senso, il foglietto sarà sempre nella posizione migliore per romperti i coglioni.

#Teorema #scienza #humour #medicine #farmaci #schroedinger #gattodischrodinger #bugiardino #bigpharma

There seems to be nothing a 555 can’t do. We’ve seen it before, but [electronzapdotcom] reminds us you can use a 555 and a few parts to make a reasonable touch switch. The circuit lives on a breadboard, as shown in the video below.

The circuit uses some very large resistors so that noise from your body can overcome the logic level on the trigger and threshold inputs. You can easily adapt this idea if you need a simple touch switch. Though we imagine this circuit wouldn’t work well if you were in a quiet environment. We suspect 50 or 60 Hz hum is coupling through your finger and triggering the pins, but it could be a different effect.

How reliable is it? Beats us. The circuit is a bistable, so essentially your finger pumps a signal into a flip-flop. This is old trick, but could be useful. Of course, if you really need a touch switch, you have plenty of options. You can get little modules. Or, directly measure skin resistance.

youtube.com/embed/IfS6JmnjBhQ?…

hackaday.com/2025/04/02/the-ma…

Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubblicato un video di circa mezz’ora sul suo canale Telegram, in cui parla della creazione di un’interfaccia per il nuovo dispositivo.

Ricordiamo che nel 2020 Flipper Zero è stato annunciato come modello junior nella linea di strumenti di pentesting. All’epoca, Pavel Zhovner dichiarò che Flipper One, era stato progettato come una versione più avanzata per attacchi alle reti cablate e wireless. Si supponeva che l’One avesse tutte le funzionalità dello Zero, più un computer ARM separato con Kali Linux a bordo.

Sebbene da allora non ci fossero praticamente più notizie sullo sviluppo di Flipper One, nel 2023 Pavel Zhovner disse a Dana Shepovalov in un’intervista che erano in corso lavori attivi su Flipper One. “Vogliamo creare una soluzione potente e versatile, combinando FPGA e SDR per consentire la definizione programmabile di qualsiasi protocollo. Tuttavia, resta il dubbio se gli utenti sarebbero disposti ad acquistare un dispositivo dal costo compreso tra 300 e 500 dollari. Per questo motivo, il progetto è ancora in piena fase di ricerca e sviluppo. Ad esempio, la scelta del modulo Wi-Fi non è stata ancora finalizzata, poiché tutti i chip attualmente disponibili e adatti agli attacchi risultano ormai obsoleti”, ha dichiarato Zhovner.

Come si è capito dal nuovo video, la forma del dispositivo è quasi approvata per Flipper One ed è in fase di realizzazione uno schermo personalizzato con una risoluzione di 256×144 pixel. Lo schermo e la risoluzione vengono selezionati in base alla lingua, alle tastiere e alle proporzioni del nuovo prodotto.

Attualmente gli sviluppatori sono impegnati a “inventare un’interfaccia” e a lavorare sull’ergonomia del dispositivo. “Innanzitutto, devi sapere che il dispositivo opera in due modalità. Dispone di un coprocessore, ovvero un microcontrollore sempre attivo, che gestisce alcune funzioni anche quando il sistema principale è spento. In questa modalità, il dispositivo permette di visualizzare il livello di carica e di funzionare come power bank. Quando colleghi un dispositivo a Flipper per la ricarica, il display mostra la potenza erogata e il consumo. Inoltre, può accendere la retroilluminazione dello schermo, attivare i pulsanti e offrire un semplice menu di navigazione. Può persino essere utilizzato come tester USB: basta collegarlo a un alimentatore per verificare l’erogazione di energia. La seconda modalità si attiva quando entra in funzione il processore principale. Il primo passo in questo stato è il caricamento del bootloader, che ti permette di scegliere quale sistema operativo avviare (ad esempio, Android TV, Linux o un’altra variante di Linux). Successivamente, il sistema operativo selezionato si avvia e diventa completamente operativo”, afferma Zhovner nel video.

Attualmente, gli sviluppatori sono giunti alla conclusione che per controllare il dispositivo saranno necessari otto pulsanti: uno stick, un D-pad con un pulsante “OK”, un pulsante Alt+Tab (per passare da un programma all’altro), quattro pulsanti software e un pulsante di accensione.

A giudicare dalla foto pubblicata sul canale Telegram, si suppone che Flipper One avrà questo aspetto.

Lo sviluppatore spiega che, secondo lui, tutti i cyberdeck sono pessimi perché nessuno scrive un’interfaccia grafica specifica per essi e un sistema operativo completo su uno schermo piccolo è semplicemente scomodo da usare. “Nessuno scrive mai una GUI, ma io voglio creare una GUI che implementi le funzionalità di sistema: esegua SystemD, NetworkManager e così via. Più wrapper per il software applicativo. Cioè, una specie di linguaggio nostro, un sottoprocesso Python e un wrapper per i programmi applicativi userspace, e affinché la comunità possa aggiungervi qualcosa. Cioè, oggi hanno creato un wrapper per nmap, domani un wrapper per il programma Traceroute, dopodomani per htop e così via. Mi sembra che sia molto più semplice, quindi mi aspetto che la comunità scriverà molti di questi wrapper per i propri programmi”, afferma Zhovner. Sottolinea che sarebbe fantastico se l’idea di un’interfaccia utente grafica per sistemi embedded potesse evolversi e apportare vantaggi agli sviluppatori terzi.

L'articolo Arriva Flipper One! : Kali Linux, FPGA e SDR in un solo dispositivo? proviene da il blog della sicurezza informatica.