We’ve been loving the variety of entries to the 2025 One-Hertz Challenge. Many a clock has been entered, to be sure, but also some projects that step well outside simple timekeeping. Case in point, this AM transmitter from [oldradiofixer.]

The software-only transmitter uses an ATTiny85 processor to output an AM radio signal in the broadcast band. It transmits a simple melody that you can tune in on any old radio you might have lying around the house. Achieving this was simple. [oldradiofixer] set up the cheap microcontroller to toggle pin PB0 at 1 MHz to create an RF carrier. Further code then turns the 1MHz carrier on and off at varying rates to play the four notes—G#, A, G#, and E—of the Twilight Zone theme. This is set up to repeat every second—hence, it’s a perfectly valid entry to the 2025 One-Hertz Challenge!

It’s a simple project, but one that demonstrates the basics of AM radio transmission quite well. The microcontroller may not put out a powerful transmission, but it’s funny to think just how easy it is to generate a broadcast AM signal with a bit of software and a length of wire hanging off one pin. Video after the break.

youtube.com/embed/yi7hemwG_6A?…

hackaday.com/2025/07/30/2025-o…

[Remy van Elst] found an obsolete bike navigation system, the Navman Bike 1000, in a thrift store for €10. The device was a rebadged Mio Cyclo 200 from 2015. Can a decade-old GPS be useful? Well, the answer depends on a little reverse engineering.

There were some newer maps available, but they wouldn’t download using the official software. Out comes WireShark and mitmproxy. That allowed [Remy] to eavesdrop on what was going on between the box and its home server. From there he could intercept the downloaded software image, which in turn yielded to scrutiny. There was one executable, but since the device mounted as a drive, he was able to rename that executable and put his own in using the same name.

The device turns out to run Windows CE. It could even run DOOM! Once he was into the box with a file manager, it was fairly straightforward to add newer software and even update the maps using OpenStreetMaps.

This is a great example of how a little ingenuity and open source tools can extend the life of consumer electronics. It isn’t always as easy to find an entry point into some device like this. Then again, sometimes it’s a little easier than maybe it should be.

We’d all but forgotten Windows CE. We see many people using WireShark, but fewer running mitmproxy. It sure is useful.

hackaday.com/2025/07/30/one-ma…

I responsabili del Python Package Index (PyPI) hanno emesso un avviso su una campagna di phishing rivolta agli utenti. Gli aggressori mirano a reindirizzare le vittime verso siti falsi camuffati da PyPI e a rubare le loro credenziali. Gli aggressori avrebbero inviato email con oggetto “[PyPI] Verifica email” provenienti da noreply@pypj[.]org. In altre parole, il dominio imita pypi.org e la lettera “j” sostituisce la “i”.

“Non si tratta di una violazione della sicurezza di PyPI in sé, ma piuttosto di un tentativo di phishing e di abuso della fiducia che gli utenti ripongono in PyPI”, scrive Mike Fiedler, amministratore di PyPI. Le email contengono un link e invitano gli utenti a cliccarci sopra per verificare il proprio indirizzo email. Il link porta a un sito di phishing mascherato da PyPI e progettato per raccogliere credenziali.

Si noti che, dopo aver inserito i dati sul sito falso, la richiesta viene inviata al sito PyPI legittimo. Questo consente di ingannare le vittime e convincerle che tutto sia in regola, sebbene in realtà le loro credenziali cadano nelle mani degli aggressori.

PyPI ha affermato di stare già valutando possibili metodi per contrastare l’attacco. Nel frattempo, i responsabili hanno invitato gli utenti a controllare attentamente gli URL nei loro browser prima di effettuare l’accesso e ad astenersi dal cliccare sui link se hanno ricevuto email simili in passato.

“Se hai già seguito il link e inserito le tue credenziali, ti consigliamo di cambiare immediatamente la password PyPI”, scrive Fidler. “Controlla la cronologia di sicurezza del tuo account per verificare se ci sono anomalie.”

Al momento non è chiaro chi sia dietro questa campagna, ma è molto simile agli attacchi di phishing che hanno colpito gli utenti di npm nelle ultime settimane. Ricordiamo che, nel caso di npm, gli aggressori utilizzano anche il typosquatting con il dominio npnjs[.]com (invece del vero npmjs.com). Gli aggressori inviano anche email agli sviluppatori in merito alla presunta necessità di verificare il loro indirizzo email per rubarne le credenziali.

Questi attacchi hanno compromesso numerosi pacchetti popolari, alcuni dei quali vengono scaricati 30 milioni di volte a settimana.

L'articolo Dopo NPM, ora è il turno di PyPI: Fate attenzione utenti Python a questa nuova campagna di phishing proviene da il blog della sicurezza informatica.

Negli ultimi giorni, diversi Centri di Assistenza Fiscale (CAF) italiani — tra cui CAF CIA, CAF UIL e CAF CISL — stanno segnalando un’ondata di messaggi SMS sospetti inviati direttamente ai loro clienti. A riportarlo a Red Hot Cyber è stata una segnalazione da parte di Massimo Tenaglia del CED Nazionale, Caf Cia srl.

La truffa del CAF via SMS

Il testo del messaggio, come mostrato anche nell’immagine di copertina, invita l’utente a contattare urgentemente un presunto “CAF Centro Assistenza Formativa” a un numero a pagamento che inizia con 893, prefisso noto per i servizi a sovrapprezzo.

«Si prega di contattare con urgenza i nostri uffici CAF Centro Assistenza Formativa al numero 8938939903 per comunicazioni che la riguardano»

La modalità del tentativo di frode è chiara: sfruttare la fiducia che i contribuenti ripongono nei CAF per indurre la vittima a chiamare un numero a pagamento, generando così guadagni illeciti per i truffatori.

Il dubbio che preoccupa gli operatori

Ciò che rende questa vicenda particolarmente preoccupante è che i numeri destinatari degli SMS risultano essere effettivamente clienti reali dei CAF coinvolti, persone che hanno usufruito di servizi fiscali come 730, ISEE o dichiarazioni dei redditi. Questo dettaglio fa sorgere il sospetto che non si tratti di un’azione casuale, ma che dietro ci possa essere una vera e propria esfiltrazione di dati: qualcuno potrebbe aver avuto accesso ai database dei CAF o, più probabilmente, a quelli delle software house che forniscono le piattaforme informatiche utilizzate dai centri di assistenza fiscale per la gestione delle pratiche.

Un operatore del settore ci ha scritto in modo informale per condividere queste preoccupazioni:

“La cosa strana che abbiamo riscontrato è che i numeri di telefono destinatari di questi SMS sono proprio dei clienti dei relativi CAF a cui sono stati svolti questi servizi. Siccome ci siamo informati presso i nostri fornitori di servizi a livello informatico e sembra non ci sia nessuna violazione di dati, voi che siete sempre attenti a scovare questi attacchi con tentativi di esfiltrazione di dati, siete al corrente di attività criminale magari nei confronti di software house che lavorano per i CAF?”

Ipotesi e scenari

Se davvero ci fosse stata una compromissione, non è detto che i CAF siano stati direttamente violati: molto più probabile che i dati siano stati sottratti da fornitori terzi che possono gestire:

• software per l’elaborazione dei modelli fiscali,
• portali per la gestione degli appuntamenti,
• piattaforme cloud usate per la conservazione dei documenti.

Questa modalità rispecchia quanto già accaduto in altri settori, dove i cybercriminali hanno colpito i fornitori tecnologici per ottenere dati sensibili su larga scala.

Inoltre, va ricordato che nel mondo cybercriminale combo di dati (cioè elenchi aggregati di numeri di telefono, email e altre informazioni) sono costantemente in vendita su forum e marketplace underground a prezzi bassissimi.
Un attacco mirato ai clienti di CAF potrebbe quindi essere alimentato anche da dati aggregati provenienti da precedenti data breach o sottratti tramite malware come gli infostealer, che raccolgono informazioni direttamente dai dispositivi compromessi degli utenti.

Non è quindi semplice risalire all’origine dell’esfiltrazione: i dati potrebbero aver fatto diversi “giri” nel tempo, passando attraverso rivendite, scambi o correlazioni con altre compromissioni passate.
Questo rende ancora più difficile individuare con certezza il momento e il luogo in cui le informazioni siano state sottratte, aumentando il rischio per gli utenti finali.

Cosa possiamo fare

• Non chiamare numeri sospetti, specialmente se iniziano con prefissi a sovrapprezzo come 893 o 899.
• Segnalare immediatamente questi SMS ai CAF di riferimento e alle autorità competenti.
• I CAF, dal canto loro, dovrebbero avvisare i propri clienti con messaggi ufficiali e valutare insieme ai fornitori tecnologici eventuali anomalie nei sistemi informatici.

Conclusione

Questa campagna di phishing via SMS sarebbe l’ennesima dimostrazione di come i dati personali possano diventare un’arma nelle mani dei cybercriminali. È importante che i CAF, i fornitori di software e le autorità collaborino per accertare l’origine del problema e proteggere la privacy dei cittadini.

La sicurezza informatica, però, non è fatta solo di tecnologie e controlli: sta diventando giorno dopo giorno una vera e propria cultura, e così deve essere trattata.
Perché anche disponendo dei migliori strumenti di difesa, il social engineering e l’interazione umana resteranno sempre un passo avanti: il bersaglio finale siamo sempre noi, persone che ogni giorno usano il digitale per lavoro o nella vita privata.

Per questo motivo, la consapevolezza del rischio rimane l’arma più potente, e il prodotto migliore su cui investire davvero.
Formazione, sensibilizzazione e attenzione quotidiana possono fare la differenza tra cadere vittima di un attacco e saperlo riconoscere in tempo.

L'articolo CAF, phishing e telefonate: il nuovo “modello unico” del Crimine Informatico. Fate Attenzione! proviene da il blog della sicurezza informatica.

You can get cheap no-brand macropads for almost nothing now. Some of them have just a couple of keys. Others have lots of keys, knobs, and LEDs. You can spring for a name brand, and it’ll be a good bet that it runs QMK. But the cheap ones? Get ready to download Windows-only software from suspicious Google Drive accounts. Will they work with Linux? Maybe.

Of course, if you don’t mind the keypad doing whatever it normally does, that’s fine. These are little more than HID devices with USB or Bluetooth. But what do those keys send by default? You will really want a way to remap them, especially since they may just send normal characters. So now you want to reverse engineer it. That’s a lot of work. Luckily, someone already has, at least for many of the common pads based around the CH57x chips.

Open Source Configuration

Thanks to [Mikhail Trishchenkov], you can use a nice Linux tool to easily configure your macropad. You can build it from source, or get built versions for Linux, Windows, and Mac. The whole thing is written in Rust if you want to take it apart or modify it.

The configuration might not make GUI users happy, but most Linux users are just fine with editing a yaml file. The software works with lots of different pads, so you do have to explain what you have first. Then you can explain what you want.

The yaml file has several keys of interest (documented in the sample file):

• orientation – You can ask the software to treat the pad in its normal orientation or rotated 90, 180, or 270 degrees. This only matters because it is nice to lay out the keys in the right order and you want the knobs clockwise and counterclockwise directions to make sense. Of course, you can do the mental gymnastics to set it up however you like, but this makes it easier.
• row, columns – Different pads have different number of rows and columns. Note that this doesn’t respect your Orientation setting. So if you put any knobs to the left, the horizontal keys are the columns and the vertical keys are the rows.
• knobs – Your pad may have knobs. Count them here.
• layers – You define multiple layers here (but at least one). The cheaper pads only support one layer, but the nicer ones have a pushbutton and LEDs that let you cycle through a few layers of different key definitions.
• buttons – Inside a layer, you can have a bunch of key names in brackets. Depending on the orientation, there will be one set of brackets for each column or one set for each row.
• knobs – Also inside a layer, you can define what happens on ccw, cw, and press events for each button.

The Key

The key names are generally characters (“2” or “d”) but can also be names of keys like “play” or “ctrl-x.” You can set up multiple keys (“a+b”) and there are mouse events like “click” and “wheeldown.”

You can probably guess most keys, but if in doubt, call the configuration with the show-keys argument to get a list.

I renamed the program to macropad-tool. (ch57x-keyboard-tool was too much to type.) I didn’t realize at the time that there was another program that should work with the same pad that already uses that name.

When you have a yaml file ready, you can verify it and then, if it went well, upload it:
macropad-tool validate myconfig.yaml
macropad-tool upload myconfig.yaml

That’s It?

That’s mostly it. There were only a few problems. First, you need to reinitialize the macropad each time. Second, you probably need to be root to write to the device, which is less than handy. You probably want to do more than just keystrokes. For example, you want to have the top left button bring up, for example, Gimp. As a stretch goal, my macropad didn’t support layers, and even if it did, it isn’t handy to have to push a little button to change them. I set out to fix that — sort of.

Last Problem First

The KDE keyboard shortcut dialog can read the keys and make them do actions.
At first, I thought it would be easy to map things since I use KDE. I set the keypad up to generate F13-F25, keys you don’t normally have on most keyboards. It worked, but apparently my setup sees these keycodes as other special characters that are already mapped to things. I could have fixed it, but I decided to go a different direction.

The likelihood that you would bind something to Control+Alt+Shift+… is small. Generally, only a few odd and dangerous keystrokes use this because it takes a lot of dexterity to press all those keys.

But the macropad doesn’t care. So I set up the first key to be Control+Alt+Shift+A, followed by Control+Alt+Shift+B, and so on. Now, I can easily use the KDE keyboard shortcuts from the control panel to catch those keys and do things like launch a shell, change desktops, or whatever.

All the Rest

All the other problems hinge on one thing: it is hard to run the command to initialize the macropad unless you are root. If you had a simple command to set it up, you could easily run it on startup or at any time you wanted to reinitalize the macropad.

In addition, you could bind a key to run the configuration tool to change configurations to make a poor version of layers. Sure, there would be no indication of what layer you were in, but you could fix that a different way (for example, status text on the taskbar). While not ideal, it would be workable.

So how do we get a simple command that can easily load the macropad? There are a few choices. You could have a script owned by root that is sticky. That way, users could run it, but it could become root to configure the keyboard.

I decided to go a slightly different way. I put the tool in /usr/local/bin and the yaml files in /usr/local/share/macropad, which I created. Then I created a script. You’ll probably want to modify it.

The script calls the keypad loader with sudo. But the sudo will just prompt you, right? Well, yes. So you could make an entry in /etc/sudoers.d/99-macropad:
alw ALL=(ALL) NOPASSWD: /usr/local/bin/macropad-tool
Now you, or the script on your behalf, can run the tool with sudo and not provide a password. Since a normal user can’t change /usr/local/bin/macropad or /usr/local/bin/macropad-tool, this is reasonable.

If you prefer, you could write a udev rule to match the USB IDs of your macropad and set the permissions. Something like this:
ATTRS{idProduct}=="8840", ATTRS{idVendor}=="1189", MODE="666", GROUP="users"
If you change the permissions, change the script to not use sudo. And, of course, change the product and vendor IDs to suit your macropad, along with your group, if you need something different. However, that’s probably the best option.

Fake Layers

Since the script allows you to define different layers, you can make a switch change the layer configuration by simply running the script with a given argument on a key press. A hack, but it works. Obviously, each layer will need its own fake keys unless they provide the same function. The file /tmp/macropad-current-layer tracks the current layer, which you can show with something like a command output plasmoid.

Arrange for the script to load on startup using your choice of /etc/rc.local, systemd, or even a udev rule. Whatever you like, and that takes care of all your problems.

Did we mention how cheap these are? Good thing, because you can easily roll your own and put some good software on it like QMK.

hackaday.com/2025/07/30/linux-…

Lo scorso fine settimana è stata rilasciata la versione finale del kernel Linux 6.16 , tradizionalmente annunciata da Linus Torvalds in persona. Lo sviluppo è proceduto con calma, ma senza grandi innovazioni: la release si è rivelata più tecnica che sensazionale. Ciononostante, include decine di miglioramenti delle prestazioni, supporto per nuove istruzioni e miglioramenti fondamentali nell’utilizzo della memoria.

Secondo Phoronix, Linux 6.16 contiene ora oltre 38 milioni di righe di codice, distribuite su oltre 78.000 file. E’ stato svolto molto lavoro, dall’ottimizzazione di basso livello ai miglioramenti della sicurezza. Una delle modifiche più importanti è l’aggiunta del supporto per le Advanced Performance Extensions di Intel, introdotte nel 2023. Queste espandono le operazioni vettoriali e raddoppiano il numero di registri generici, ma non funzionano su tutti i processori, il che ricorda i problemi di Intel con la frammentazione del supporto.

Anche i file system hanno ricevuto un incremento delle prestazioni. XFS ha aggiunto scritture atomiche estese mentre ext4 ha acquisito il supporto per bigalloc e large folio, che in alcuni scenari velocizza le operazioni di quasi un terzo. I miglioramenti hanno interessato sia Btrfs che NFS. Anche il meccanismo di core dump è stato modificato : ora i dump della memoria possono essere trasmessi tramite AF_SOCKET, anziché essere salvati solo in una directory. Questo aumenta la flessibilità e la sicurezza durante il debug.

Per i sistemi server NUMA, è stata aggiunta la funzione di auto-ottimizzazione automatica, una funzionalità importante per la distribuzione del carico tra i nodi di memoria. Inoltre, il kernel ora supporta tabelle di pagina a cinque livelli, aprendo la strada a quantità colossali di memoria virtuale. Per le soluzioni e i dispositivi embedded con risorse limitate, un’importante innovazione è la possibilità di delegare la decodifica audio ai chip USB, in fase di sviluppo da diversi anni e finalmente implementata, soprattutto per le piattaforme Qualcomm .

Una panoramica completa delle innovazioni è pubblicata in due parti su LWN: prima parte, seconda parte e un riassunto. È disponibile anche una breve descrizione su kernelnewbies.org, per chi desidera familiarizzare rapidamente con i punti principali.

Torvalds ha avvertito che sarebbe stato in viaggio durante il rilascio della versione Linux 6.17. Questo potrebbe causare ritardi. Sembra un avviso organizzativo, ma ci ricorda anche che il destino del kernel Linux dipende ancora in gran parte da una sola persona.

L'articolo Rilasciato il Kernel Linux 6.16. Novità e miglioramenti senza troppo effetto Woww proviene da il blog della sicurezza informatica.

La società francese di telecomunicazioni Orange, che serve quasi 300 milioni di clienti in tutto il mondo, ha segnalato un grave incidente di sicurezza che ha causato interruzioni ai servizi chiave in Francia. L’incidente è stato rilevato la sera del 25 luglio dagli specialisti della divisione Cyberdefense di Orange, dopodiché il sistema interessato è stato immediatamente isolato dal resto dell’infrastruttura.

Nonostante la rapida risposta, la localizzazione della minaccia ha causato interruzioni temporanee nel funzionamento delle piattaforme aziendali e dei servizi individuali per i consumatori, incluso l’accesso alla gestione dei servizi e alle funzioni amministrative interne.

Le interruzioni hanno interessato principalmente i clienti in Francia. Si prevede che il pieno ripristino delle normali attività avverrà oggi stesso.

Dal monitoraggio delle underground criminali, nella giornata del 28 luglio è emersa la pubblicazione, all’interno di un forum underground, di un annuncio da parte di un threat actor che ha messo in vendita oltre 6.000 record appartenenti a Orange Moldova.

Dopo aver scoperto l’attacco, i rappresentanti di Orange hanno contattato le autorità competenti e hanno intentato una causa ufficiale, ma non è ancora stato reso noto quali vettori siano stati utilizzati dagli aggressori. L’azienda sottolinea che, allo stato attuale delle indagini, non vi sono segnali di fuga di dati degli utenti o furto di informazioni riservate.

L’incidente in sé presenta molte somiglianze con un’ondata di attacchi contro aziende di telecomunicazioni precedentemente condotta dal gruppo cinese Salt Typhoon, noto per i rapporti della CISA e dell’FBI per attacchi contro operatori di telecomunicazioni negli Stati Uniti e all’estero. Tra i soggetti interessati da queste operazioni su larga scala figurano AT&T, T-Mobile, Verizon, Lumen, Windstream e altre grandi aziende di telecomunicazioni, nonché fornitori di servizi satellitari come Viasat .

È interessante notare che questo è il secondo attacco a Orange negli ultimi sei mesi. Nel febbraio 2025, un hacker che utilizzava lo pseudonimo Rey aveva segnalato la compromissione dell’infrastruttura della divisione rumena dell’azienda. All’epoca, si trattava di accesso a documenti interni, codici, contratti, indirizzi email e dati dei dipendenti, tra cui fonti che affermavano il furto di oltre 380.000 indirizzi email. L’azienda ha riconosciuto l’attacco a un’applicazione ausiliaria, ma ha insistito sul fatto che elementi critici dell’infrastruttura non erano stati interessati.

Orange detiene una posizione dominante in Europa, Africa e Medio Oriente, fornendo servizi di comunicazione mobile, banda larga e cloud alle aziende. Nel 2024, l’azienda serviva 256 milioni di clienti di telefonia mobile e 22 milioni di telefonia fissa, con oltre 125.000 dipendenti e registrando un fatturato annuo di 40,3 miliardi di euro.

L’attacco attuale, nonostante l’assenza di una fuga di dati confermata, resta altamente preoccupante: la minaccia di una ripetizione di campagne di spionaggio su larga scala resta reale, soprattutto data la delicatezza dell’infrastruttura delle telecomunicazioni e la portata internazionale delle operazioni di Orange.

L'articolo Orange segnala grave incidente di sicurezza in Francia. Nelle underground messi in vendita 6000 record proviene da il blog della sicurezza informatica.