Gli specialisti della sicurezza di Sophos hanno attirato l’attenzione su un attacco informatico in cui aggressori sconosciuti hanno utilizzato lo strumento forense open source Velociraptor per monitorare gli endpoint .

“In questo incidente, gli aggressori hanno utilizzato uno strumento per scaricare ed eseguire Visual Studio Code con il probabile intento di creare un tunnel verso un server di comando e controllo”, hanno affermato gli esperti della Sophos Counter Threat Unit.

Il rapporto sottolinea che gli aggressori spesso impiegano tattiche di tipo “living-off-the-land” (LotL) e utilizzano legittimi strumenti di monitoraggio e controllo remoto negli attacchi, ma l’uso di Velociraptor segnala un’evoluzione di tali tattiche, in cui il software di risposta agli incidenti viene utilizzato per scopi dannosi.

L’analisi dell’incidente ha mostrato che gli aggressori hanno utilizzato l’utility msiexec di Windows per scaricare un programma di installazione MSI dal dominio Cloudflare Workers, che funge anche da area di staging per altre soluzioni utilizzate dagli hacker, tra cui lo strumento di tunneling Cloudflare e l’utility di amministrazione remota Radmin.

Il file MSI è stato progettato per distribuire Velociraptor, che avrebbe poi comunicato con un altro dominio Cloudflare Workers. L’accesso è stato quindi utilizzato per scaricare Visual Studio Code dallo stesso server di staging utilizzando un comando PowerShell codificato ed eseguirlo con l’opzione di tunneling abilitata per consentire sia l’accesso remoto che l’esecuzione di codice remoto.

Inoltre, è stato osservato che gli aggressori riutilizzavano l’utilità msiexec di Windows per scaricare payload aggiuntivi. “Le organizzazioni dovrebbero monitorare e indagare sull’uso non autorizzato di Velociraptor e considerare l’impiego di tali tattiche come un precursore della distribuzione di ransomware”, avverte Sophos.

In seguito alla pubblicazione di questo rapporto da parte di Sophos, la società di sicurezza Rapid7, che sviluppa Velociraptor, ha pubblicato un white paper che spiega nel dettaglio come le organizzazioni possono rilevare l’abuso di Velociraptor nei loro ambienti.

“Rapid7 è a conoscenza di segnalazioni di abusi dello strumento open source di risposta agli incidenti Velociraptor. Velociraptor è ampiamente utilizzato dai difensori per scopi legittimi di analisi forense digitale e risposta agli incidenti. Ma come molti altri strumenti di sicurezza e amministrazione, può essere utilizzato per scopi dannosi se finisce nelle mani sbagliate”, commentano gli sviluppatori.

L'articolo Gli aggressori utilizzano Velociraptor per gli attacchi informatici. Rapid7 è al corrente proviene da il blog della sicurezza informatica.

Before you decide to click away, thinking we’re talking about some heart rate monitor that connects to a display using WiFi, wait! Pulse-Fi is a system that monitors heart rate using the WiFi signal itself as a measuring device. No sensor, no wires, and it works on people up to ten feet away.

Researchers at UC Santa Cruz, including a visiting high school student researcher, put together a proof of concept. Apparently, your heart rate can modify WiFi channel state information. By measuring actual heart rate and the variations in the WiFi signal, the team was able to fit data to allow for accurate heart rate prediction.

The primary device used was an ESP32, although the more expensive Raspberry Pi performed the same trick using data generated in Brazil. The Pi appeared to work better, but it is also more expensive. However, that implies that different WiFi chipsets probably need unique training, which, we suppose, makes sense.

Like you, we’ve got a lot of questions about this one — including how repeatable this is in a real-world environment. But it does make you wonder what we could use WiFi permutations to detect. Or other ubiquitous RF signals like Bluetooth.

No need for a clunky wristband. If you could sense enough things like this, maybe you could come up with a wireless polygraph.

hackaday.com/2025/09/05/heart-…

Un gruppo di criminali informatici, che i ricercatori di ESET hanno soprannominato GhostRedirector e collegato all’ecosistema cinese, ha silenziosamente implementato uno schema di manipolazione dei motori di ricerca globali basato su host Windows hackerati. Secondo la telemetria e le scansioni Internet di giugno, almeno 65 server in diversi paesi sono stati compromessi. Le prime infezioni confermate sono state registrate da dicembre, ma una serie di campioni correlati indica attività almeno da agosto 2024, quindi non si tratta di un’epidemia, ma di una campagna a lungo termine con ruoli e infrastrutture consolidati.

Al centro ci sono due componenti appositamente scritti. Rungan è una backdoor passiva scritta in C++ che, una volta attivata, accetta comandi su una macchina compromessa e funge da meccanismo di amministrazione remota silenzioso. Gamshen è un trojan per Internet Information Services che modifica le risposte del server web in modo che Googlebot non veda le pagine originali, ma versioni modificate utili per i domini di gioco d’azzardo di terze parti.

A livello di motore di ricerca, sembra che i siti legittimi linkino massicciamente a risorse promosse e gli algoritmi di ranking interpretano questi link artificiali come raccomandazioni. Di conseguenza, le posizioni dei siti di gioco d’azzardo aumentano e i proprietari di host hackerati non sospettano nemmeno che i loro siti stiano alimentando lo schema SEO di qualcun altro .

La geografia dell’attacco mostra una chiara prevalenza nei paesi del Sud America e dell’Asia meridionale. Il maggior numero di computer infetti è stato rilevato in Brasile, Perù, Thailandia, Vietnam e Stati Uniti, e gli aggressori non si sono limitati a un singolo settore. Sono stati colpiti istituti scolastici, organizzazioni mediche, compagnie assicurative, aziende di trasporti, aziende tecnologiche e del commercio al dettaglio. Tale distribuzione suggerisce che la selezione delle vittime non sia stata determinata dal profilo dell’azienda, ma da segnali tecnici di vulnerabilità e dalla facilità di successiva operatività.

Secondo gli analisti, il punto di ingresso iniziale è associato a specifiche vulnerabilità di SQL injection. Dopo aver compromesso l’applicazione web, gli aggressori hanno proceduto alla fase di espansione dell’accesso e hanno distribuito una catena di loader e strumenti sul server. Gli script di controllo in PowerShell hanno estratto tutti i componenti necessari dallo stesso nodo 868id[.]com, semplificando la logistica dell’attacco e consentendo una rapida sostituzione delle versioni del payload.

Per uscire dal contesto del processo web e raggiungere il livello di amministratore, sono state utilizzate utility basate su exploit pubblici della famiglia Potato, in particolare sulle idee di EfsPotato e BadPotato, ampiamente utilizzate nel segmento criminale di lingua cinese. Alcuni dei campioni presentavano una firma digitale corretta: il certificato è stato rilasciato dal centro TrustAsia RSA Code Signing CA G3 alla società Shenzhen Diyuan Technology. La presenza di una firma valida aumenta l’affidabilità dei meccanismi di protezione nei file eseguibili e ne facilita l’avvio. Dopo aver completato con successo l’escalation dei privilegi , il lavoro è stato completato creando o modificando un account locale con inclusione nel gruppo degli amministratori, il che ha garantito la stabilità del controllo e la possibilità di eseguire operazioni sensibili senza ripetuti attacchi informatici.

Oltre alle backdoor finali, i ricercatori descrivono due moduli ausiliari che forniscono ricognizione e controllo. La libreria Comdai assume una serie di funzioni a livello di backdoor: stabilisce l’interazione di rete con la parte di controllo, crea account con diritti amministrativi, esegue file, ottiene elenchi di directory, interferisce con il funzionamento dei servizi e modifica le chiavi del registro di Windows. Un componente separato, Zunput, è responsabile dell’inventario dei siti web in grado di eseguire contenuti dinamici. Controlla l’attività delle raccolte siti, ne raccoglie i parametri (il percorso fisico alla radice web, il nome del sito, l’indirizzo IP, il nome host) e quindi lascia una web shell sul server per ulteriori operazioni.

La fase finale della catena è l’implementazione di una coppia di Rungan e Gamshen. Il primo esegue una serie di comandi su un nodo hackerato e supporta l’attività operativa remota senza rumore nei log, il secondo trasforma una risorsa legittima in una guarnizione invisibile per la manipolazione delle ricerche. Il trucco chiave di Gamshen è la sostituzione selettiva della risposta solo per Googlebot, e gli inserimenti vengono formati dinamicamente in base ai dati provenienti dal server di controllo C2. In questo modo vengono creati backlink artificiali da domini attendibili alle pagine desiderate, che li spostano nelle prime righe per le query di destinazione. A giudicare dalla descrizione della meccanica, un progetto di terze parti ne trae vantaggio, il che è molto probabile che paghi per il servizio di cheating, e GhostRedirector agisce come un appaltatore tecnico con il proprio arsenale e un proprio set di accessi.

Il quadro emerso da questa operazione mostra quanto strettamente si intersechino oggi le pratiche SEO criminali e l’hacking tradizionale dei server. Da un lato, lo sfruttamento mirato di vulnerabilità, l’escalation dei privilegi, l’entrenchment e i moduli di controllo; dall’altro, un attento lavoro su contenuti e traffico, basato sui segnali comportamentali dei motori di ricerca. Nel complesso, ciò consente in un breve lasso di tempo di creare una rete di link di supporto provenienti da risorse altrui e di aumentare la visibilità dei siti promossi, senza lasciare praticamente tracce visibili per i proprietari dei siti compromessi.

L'articolo GhostRedirector: la campagna di redirect black SEO che manipola i motori di ricerca proviene da il blog della sicurezza informatica.

Microsoft ha annunciato che gli aggiornamenti di sicurezza di Windows di agosto 2025 potrebbero causare richieste impreviste di Controllo dell’account utente (UAC) e problemi durante l’installazione delle app. Il bug riguarda gli utenti non amministratori su tutte le versioni supportate di Windows.

Il problema è causato da una patch che risolve una vulnerabilità di escalation dei privilegi in Windows Installer (CVE-2025-50173). Questa vulnerabilità consentiva ad aggressori autenticati di ottenere privilegi a livello di SISTEMA.

Per risolvere il problema, Microsoft ha implementato nuovi prompt di Controllo dell’account utente che richiedono le credenziali di amministratore in varie situazioni per impedire potenziali escalation dei privilegi da parte di aggressori. In alcuni scenari, questi prompt possono verificarsi durante l’esecuzione di comandi di riparazione MSI (come msiexec /fu), nonché durante l’installazione di applicazioni che si configurano automaticamente per singoli utenti ed eseguono Windows Installer durante l’installazione attiva.

Tali modifiche potrebbero inoltre impedire agli utenti di: distribuire pacchetti tramite Configuration Manager (ConfigMgr) che dipendono da configurazioni pubblicitarie specifiche dell’utente; abilitare Secure Desktop; eseguire applicazioni Autodesk, tra cui alcune versioni di AutoCAD, Civil 3D e Inventor CAM.

L’elenco completo delle piattaforme interessate è ampio e comprende sia le versioni client che quelle server.

• Windows 11 24H2
• Windows 11 23H2
• Windows 11 22H2
• Windows 10 22H2
• Windows 10 21H2
• Windows 10 1809
• Windows 10 Enterprise LTSC 2019
• Windows 10 Enterprise LTSC 2016
• Windows 10 1607
• Windows 10 Enterprise 2015 LTSB
• Server: Windows Server 2025
• Windows Server 2022
• Windows Server 1809
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012.

“L’aggiornamento di sicurezza di Windows di agosto 2025 (KB5063878) e gli aggiornamenti successivi includevano un miglioramento per garantire che il Controllo dell’account utente (UAC) richiedesse le credenziali di amministratore durante l’esecuzione della riparazione di Windows Installer (MSI) e delle operazioni correlate”, spiegano gli sviluppatori. “Se un utente standard esegue un’applicazione che avvia un’operazione di riparazione MSI senza visualizzare un’interfaccia utente, l’operazione fallirà e verrà visualizzato un messaggio di errore. Ad esempio, l’installazione e l’esecuzione di Office Professional Plus 2010 da parte di un utente standard fallirà e verrà visualizzato l’errore 1730 durante il processo di configurazione.”

Microsoft ha affermato di essere già al lavoro su una soluzione per questo problema. Gli amministratori potranno presto consentire ad alcune applicazioni di eseguire operazioni di riparazione MSI senza richiedere l’intervento del Controllo dell’account utente.

Finché non verrà rilasciata una correzione, Microsoft consiglia agli utenti di eseguire le applicazioni che utilizzano Windows Installer (MSI) come amministratore.

L'articolo Windows: gli aggiornamenti di sicurezza causano problemi con UAC e installazione app proviene da il blog della sicurezza informatica.

Vorrei installare una dash cam nella mia auto e vorrei farlo approfittando del fatto che lo specchietto retrovisore ha una porta USB-C pensata proprio per alimentare una dash cam.

I modelli che ho trovato io vengono tutti venduti con il cavo per collegarle alla batteria (scatola dei fusibili, ecc.), cosa che richiede un lavoro che non ho voglia di fare.

A me interessa filmare solo quando l'auto è accesa quindi non mi serve neanche arrivare fino alla batteria.

Conoscete qualche modello di dash cam venduta con presa USB-C?

#dashcam

If you’re working with a microcontroller that reads a sensor, the chances are that at some point you’re faced with a serial port passing out continuous readings. The workflow of visualizing this data can be tedious, involving a cut-and-paste from a terminal to a CSV file. What if there were a handy all-in-one serial data visualization tool, a serial data oscilloscope, if you will? [Atomic14] has you covered, with the web serial plotter.

It’s a browser-based tool that uses the WebSerial API, so sadly if you’re a Firefox user you’re not invited to the party. Serial data can be plotted and exported, and there are a range of options for viewing. Behind the scenes there’s some Node and React magic happening, but should you wish to avoid getting your hands dirty there’s an online demo you can try.

Looking at it we’re ashamed to have been labouring under a complex workflow, particularly as we find this isn’t the first to appear on these pages.

youtube.com/embed/MEQCPBF99FQ?…

hackaday.com/2025/09/05/captur…

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europa e una notevole presenza di installazioni cloud e industriali nella top ten. Ora l’high performance computing non riguarda solo i laboratori nazionali, ma anche i cloud commerciali e i centri industriali.

Le prestazioni dei supercomputer si misurano in operazioni in virgola mobile al secondo (FLOPS). Nella classifica TOP500, i sistemi vengono classificati in base al test LINPACK (HPL), in cui l’indicatore chiave Rmax riflette la velocità sostenibile nella risoluzione di un ampio sistema di equazioni lineari. Oggi, i leader dimostrano un livello stabile in exaflop in questo rigoroso test.

I primi tre dagli USA

• El Capitan (USA, Lawrence Livermore National Laboratory, Rmax 1,742 exaflops).
  Il supercomputer più potente al mondo. Costruito sull’architettura HPE Cray EX255a con processori AMD EPYC di quarta generazione e acceleratori Instinct MI300A collegati tramite una rete Slingshot-11. È in testa non solo al test LINPACK, ma anche al più complesso test HPCG, a dimostrazione di prestazioni bilanciate per compiti scientifici reali. Dalla fine del 2024, El Capitan detiene il primo posto, consolidando gli exaflops come standard per i laboratori americani.
• Frontier (USA, Oak Ridge, Rmax 1,353 exaflop).
  Il primo sistema exaflop della storia, che rimane il punto di riferimento. Utilizza cabinet HPE Cray EX235a con processori AMD EPYC e acceleratori grafici Instinct MI250X, combinati tramite Slingshot-11. Dal 2022 al 2024, ha occupato il primo posto, mentre ora è passato al secondo. Questo cambiamento di posizione non riflette un declino, ma il ritmo del progresso nel settore. Frontier continua a lavorare al limite delle sue capacità nella ricerca su energia, materiali, biologia e astrofisica.
• Aurora (USA, Argonne National Laboratory, Rmax 1.012 exaflop).
  Il terzo sistema americano di classe exaflop. Costruito sulla piattaforma HPE Cray EX con processori Intel Xeon CPU Max e acceleratori Intel Data Center GPU Max, connessi tramite Slingshot-11. Dopo molti anni di graduale introduzione, Aurora si è assicurato il terzo posto. Il suo scopo è quello di combinare la modellazione con l’uso dell’intelligenza artificiale nella scienza: dalla ricerca nel campo della fusione termonucleare e del clima agli esperimenti su larga scala con modelli linguistici..

L’Italia al sesto e decimo posto

• HPC6 (Italia, Eni Green Data Center, Rmax 477,9 petaflop).
  Sistema industriale di punta. Costruito su HPE Cray EX235a con processori AMD EPYC e GPU Instinct MI250X, rete Slingshot-11. I principali obiettivi sono l’esplorazione sismica, la modellazione di campo e la ricerca energetica a basse emissioni di carbonio. Alla fine del 2024, il sistema è diventato brevemente leader europeo, ma nel 2025 ha ceduto il passo a JUPITER Booster, salendo al sesto posto.
• Leonardo (Italia, EuroHPC / CINECA, Rmax 241,2 petaflop).
  Sistema modulare BullSequana XH2000 con processori Intel Xeon Platinum 8358 e GPU NVIDIA A100, rete HDR100 InfiniBand. Dotato di un efficiente raffreddamento a liquido. Nel 2025, rimane nella top ten, nonostante la concorrenza dei nuovi sistemi basati su Grace-Hopper e MI300A. Questo indica che un’architettura di successo è rimasta competitiva per diversi anni consecutivi.

Il resto della top 10

• JUPITER Booster (Germania, EuroHPC / Juelich, Rmax 793,4 petaflop).
  Il nuovo orgoglio d’Europa. Costruito su BullSequana XH3000 con processori ibridi NVIDIA GH200 Grace-Hopper e una rete InfiniBand NDR200 a quattro canali. Si tratta di un modulo acceleratore parte dell’architettura modulare JUPITER. Il sistema si è subito imposto al primo posto in Europa e si è affermato nell’élite mondiale, sottolineando il rapido progresso del programma EuroHPC
• Fugaku (Giappone, RIKEN R-CCS, Rmax 442,0 petaflop).
  Un sistema ARM di Fujitsu con processori A64FX e una rete Tofu-D. Leader del 2020-2021, si conferma attualmente forte nel test HPCG, il che lo rende particolarmente efficace in attività con elevati carichi di memoria e di comunicazione. Nonostante il calo in classifica, il ritorno scientifico rimane enorme.
• Alps (Svizzera, CSCS, Rmax 434,9 petaflop).
  Uno dei sistemi europei di nuova generazione più versatili. Basato su HPE Cray EX254n con processori NVIDIA Grace e GPU GH200, combinati tramite Slingshot-11. Questa piattaforma riflette la tendenza moderna: combinare l’addestramento dell’IA e i modelli fisici sullo stesso hardware.
• LUMI (Finlandia, EuroHPC / CSC, Rmax 379,7 petaflop).
  Sistema europeo su HPE Cray EX235a con AMD EPYC e GPU Instinct MI250X. Funziona con energia rinnovabile e sfrutta il recupero di calore. Dal 2022 al 2024, è stato il progetto più importante in Europa, ma con l’avvento di Alps e JUPITER Booster, è sceso al nono posto. Rimane uno strumento chiave per la climatologia, la scienza dei materiali e l’analisi dei big data.
• La prossima frontiera nella corsa è il livello degli zettaflop, circa mille exaflop. Il Giappone sta già lavorando al progetto Fugaku Next, il cui lancio è previsto per il 2030. Potrebbe cambiare gli equilibri di potere globali. Tuttavia, il quadro completo non è ancora chiaro: la Cina non pubblica più i dati per la TOP500 e la reale portata dei suoi sistemi è sconosciuta. Questo aggiunge intrigo: chi sarà il primo a raggiungere il livello degli zettaflop rimane una domanda aperta.

L'articolo Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025 proviene da il blog della sicurezza informatica.

Il nuovo tagliacavi, sviluppato dal China Shipbuilding Research Center, è progettato per l’uso su sottomarini avanzati come le serie Fengdou e Haidou. Il dispositivo è in grado di tagliare i cavi di comunicazione corazzati in acciaio e polimero, che svolgono un ruolo fondamentale nel mantenimento o nell’interruzione della rete di comunicazioni globale, che rappresenta il 95% della trasmissione dati mondiale.

Il tagliacavi cinese per acque profonde può tagliare cavi spessi fino a 2,4 pollici a profondità di quasi 4.000 metri. (Fonte: Sustainability Time)

Il dispositivo è dotato di una mola diamantata che ruota a 1.600 giri al minuto, consentendo di strappare i cavi d’acciaio senza danneggiare il fondale marino. Il corpo in lega di titanio e il sistema di ammortizzazione a olio consentono al dispositivo di resistere a pressioni estreme sul fondale marino. Controllato da un manipolatore robotico con un sistema di posizionamento avanzato, il dispositivo garantisce un’elevata precisione anche in condizioni di scarsa visibilità.

Il dispositivo è dotato di un motore da 1 kilowatt e di un rapporto di trasmissione di 8:1, che bilancia prestazioni ed efficienza energetica. Sebbene sia progettato per applicazioni civili come il recupero subacqueo e l’estrazione mineraria in acque profonde, solleva preoccupazioni per la sicurezza internazionale. La possibilità di tagliare cavi in posizioni strategiche, come vicino a Guam, potrebbe seriamente compromettere le comunicazioni globali.

Lo sviluppo della tecnologia subacquea da parte della Cina rientra in una strategia più ampia volta ad espandere le infrastrutture e l’influenza negli oceani del mondo. Grazie alla più grande flotta sottomarina del mondo, la Cina ha accesso a vaste aree oceaniche.

Le nuove attrezzature per il taglio dei cavi, azionabili da piattaforme senza pilota difficili da individuare, offrono un vantaggio tattico nel colpire punti di strozzatura strategicamente importanti.

Sebbene gli scienziati cinesi affermino che il dispositivo sia progettato per “lo sfruttamento delle risorse marine”, il suo potenziale militare non deve essere sottovalutato.

I test hanno dimostrato che il dispositivo può tagliare cavi fino a 6,5 cm di spessore.

L'articolo La Guerra Subacquea è alle porte! Il tagliacavi cinesi saranno una minaccia globale? proviene da il blog della sicurezza informatica.

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-commerce nel clear web. L’inserzione mette in vendita un archivio senza precedenti: 16 miliardi di credenziali compromesse provenienti da piattaforme di primo piano come Apple, Facebook, Google, Binance, Coinbase e molte altre.

L’offerta, proposta al prezzo di 1 Bitcoin (circa 121.000 dollari), rappresenta una delle raccolte di dati più vaste e diversificate mai apparse nei circuiti underground.
Immagini del post pubblicato sul market underground TOR Amazon (Fonte Red Hot Cyber)

Origine e natura del leak

Secondo l’analisi di Darklab, il pacchetto non deriva da un singolo data breach, ma da 30 raccolte distinte generate attraverso campagne di malware.

Gli attori malevoli avrebbero sfruttato file corrotti e tecniche di ingegneria sociale per infettare i dispositivi delle vittime, raccogliendo credenziali soprattutto da utenti che riutilizzavano password deboli o non attivavano misure di sicurezza avanzate.

Questa caratteristica rende il dataset particolarmente interessante dal punto di vista investigativo, poiché consente di osservare non solo le vulnerabilità delle piattaforme, ma anche le cattive abitudini degli utenti e l’impatto reale del malware sulla sicurezza quotidiana.
Sample dei dati messi in vendita nel market underground TOR Amazon (Fonte Red Hot Cyber)

Dimensioni e distribuzione geografica

• Volume: le raccolte oscillano tra 16 milioni e 3,5 miliardi di record ciascuna, con una media di circa 550 milioni di credenziali per batch.
• Concentrazione geografica: i dati risultano particolarmente densi in Asia e America Latina, regioni spesso più esposte a violazioni massive per via di infrastrutture digitali meno resilienti e scarsa consapevolezza degli utenti.
• Diversità delle piattaforme: il leak copre ambienti eterogenei – social network, servizi email, piattaforme finanziarie e portali di sviluppo – offrendo una panoramica trasversale delle superfici d’attacco.

Implicazioni per il cybercrime e la ricerca

La vendita su Tor Amazon riflette la crescente minaccia dei marketplace criminali, che replicano logiche tipiche dell’e-commerce legittimo: sistemi di escrow per le transazioni, feedback degli acquirenti, supporto post-vendita.

Per i cybercriminali, i dati rappresentano una risorsa immediatamente monetizzabile attraverso:

• campagne di phishing su larga scala;
• account takeover e frodi finanziarie;
• compromissione di wallet crypto e servizi collegati.

Per i ricercatori e gli analisti, invece, il dataset costituisce una fonte preziosa per:

• studiare i pattern di distribuzione del malware;
• comprendere l’impatto della scarsa igiene digitale;
• delineare trend storici ed economici delle violazioni su scala globale.

Considerazioni finali

La scoperta effettuata da Darklab mette in evidenza come l’ecosistema criminale del dark web stia evolvendo verso modelli sempre più strutturati e competitivi.

Allo stesso tempo, ribadisce la necessità di adottare misure minime di protezione – password manager, autenticazione multi-fattore, monitoraggio continuo delle fughe di dati – che restano ancora le difese più efficaci contro minacce di questa portata.

In questo scenario, l’attività di monitoraggio e analisi condotta da comunità come Darklab si conferma cruciale per portare alla luce fenomeni che, se ignorati, rischiano di compromettere interi ecosistemi digitali.

L'articolo 16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari proviene da il blog della sicurezza informatica.

A look underneath the water’s surface can be fun and informative! However, making a device to go under the surface poses challenges with communication and water proofing. That’s what this rubber band powered submarine by [PeterSripol] attempts to fix!

The greatest challenge of building such a submersible was the active depth control system. The submarine is slightly negatively buoyant so that once the band power runs out, it returns to the surface. Diving is controlled by pitch fins, which will pitch downward under the torque applied by the rubber bands. Once the rubber band power runs out, elastic returns the fins to their natural pitch up position encouraging surfacing of the submarine. However, this results in uncontrolled dives and risks loss of the submersible.

Therefore, a float to deflect the fins when a certain depth was reached. Yet this proved ineffective, so a final solution of electronic depth control was implemented. While this may not be in the spirit of a rubber band powered submarine, it is technically still rubber band powered.

After a prototype with a single rubber band holder, a second version which uses a gearbox and three rubber band inputs was implemented which provides approximately 10 minutes of run time. An electronic failure resulted in the submarine’s failure of its final wild test, but the project was nonetheless a fun look at elastic powering a submersible.

This is not the first time we have looked at strange rubber band powered vehicles. Make sure to check out this rubber band powered airplane next!

youtube.com/embed/CDs-k-l0ZPo?…

hackaday.com/2025/09/04/poweri…

Quello dello scorso 1 aprile non era un pesce d’aprile: la prima udienza del caso Latombe c. Commissione, infatti, rinviava alla data del 3 settembre per un giudizio sul ricorso presentato per l’annullamento della decisione di adeguatezza relativa al Data Privacy Framework.

Una decisione di adeguatezza è lo strumento giuridico previsto dall’art. 45 GDPR attraverso il quale la Commissione riconosce che un paese terzo o un’organizzazione garantisce un livello di protezione adeguato, anche in relazione a un ambito territoriale o settoriale, consentendo così il trasferimento internazionale dei dati personali senza che debbano ricorrere ulteriori autorizzazioni o condizioni.

Con un comunicato stampa la il Tribunale dell’Unione europea ha reso noto l’esito del giudizio, respingendo il ricorso e riconoscendo che il quadro normativo vigente negli Stati Uniti garantisce un livello di protezione “essenzialmente equivalente” a quello garantito dalla normativa europea sulla protezione dei dati personali.

Insomma: al momento è stato evitato un effetto “Schrems III”. Ma c’è ancora la possibilità di un altro grado di giudizio.

Il precedente delle “sentenze Schrems” e la reazione di noyb.

La storia degli accordi fra Stati Uniti e Unione Europea per il trasferimento dei dati personali è particolarmente travagliata: prima il Safe Harbor, poi il Privacy Shield vennero annullati in seguito alle sentenze Schrems I e Schrems II. Motivo per cui nel 2023 è intervenuto il nuovo accordo del Data Privacy Framework.

Le questioni cruciali affrontate anche nel ricorso di Latombe riguardano l’effettività delle tutela giurisdizionale e la legittimità della raccolta e impiego dei dati da parte delle agenzie di intelligence statunitensi.

Nella sentenza si affronta il percorso di rafforzamento delle garanzie fondamentali implementate dagli Stati Uniti in materia di trattamento dei dati personali attraverso l’istituzione e il funzionamento della Data Protection Review Court (DPRC), la corte incaricata del controllo della protezione dei dati. L’indipendenza della DPRC, contestata nel ricorso, è stata confermata constatando che è stata assicurata in forza degli ordini esecutivi presidenziali. Circa il tema della raccolta massiva dei dati personali da parte delle agenzie di intelligence, il Tribunale ha valutato che la tutela giurisdizionale offerta dalla DPRC è equivalente rispetto a quella garantita dal diritto dell’Unione.

La reazione di noyb, l’ONG di Max Schrems di attivisti dei diritti digitali, contesta la decisione del Tribunale e fa intendere che nel caso di differenti argomenti di ricorso, o anche di un’impugnazione della sentenza di fronte alla CGUE, l’esito sarà ben differente. Uno dei punti critici riguarda l’indipendenza, garantita da un ordine presidenziale e non dalla legge, che in relazione all’attuale contesto dell’amministrazione Trump non può certamente dirsi un presidio sufficiente.

Il futuro incerto del Data Privacy Framework.

Le sorti del Data Privacy Framework restano incerte. Elemento che può essere deducibile anche da uno dei passaggi della sentenza, in cui si ricorda che la Commissione deve valutare eventuali mutamenti del contesto normativo nel tempo.

Insomma: non c’è nessun “sempre e per sempre”, ma è possibile che l’adeguatezza venga riesaminata ed essere sospesa, modificata o revocata in tutto o in parte da parte della stessa Commissione. O altrimenti essere annullata per effetto di un intervento della CGUE.

Qualora dovesse venir meno il Data Privacy Framework, è comunque possibile comunque fare ricorso a garanzie adeguate o altrimenti ricevere un’autorizzazione specifica da parte di un’autorità di controllo, come previsto dall’art. 46 GDPR e come avvenuto in precedenza.

Tutto questo è un déjà-vu. Ma più che un glitch della Matrix, esprime l’inevitabile interferenza della politica internazionale sulla stabilità della normativa. Rendendo evidenti e ricorrenti le contrapposte pretese di sovratensione normativa tanto da parte degli Stati Uniti che dell’Unione Europea.

L'articolo Il Tribunale dell’Unione Europea “salva” il trasferimento dei dati personali verso gli Stati Uniti. Per ora proviene da il blog della sicurezza informatica.

Gli sviluppatori di Google hanno rilasciato aggiornamenti di sicurezza per Android che risolvono 120 vulnerabilità del sistema operativo. Due di queste vulnerabilità, secondo l’azienda, sono già state sfruttate dagli hacker in attacchi mirati.

Gli errori 0-day risolti questo mese sono stati identificati come CVE-2025-38352 (punteggio CVSS 7,4) – una Privilege Escalation nel componente del kernel Linux e il CVE-2025-48543 – Privilege Escalation nel componente Android Runtime.

Google sottolinea che queste vulnerabilità sono già state sfruttate in attacchi mirati e limitati, ma l’azienda non ha divulgato dettagli su questi incidenti. Si dice che le vulnerabilità non richiedano alcuna interazione da parte dell’utente per essere sfruttate.

Il CVE-2025-38352 è una vulnerabilità del kernel Linux scoperta il 22 luglio 2025 e corretta nelle versioni 6.12.35-1 e successive. Il problema è correlato a una race condition nei timer della CPU POSIX e causa errori nella routine di pulizia delle attività, che destabilizzando il kernel e causando crash, denial of service ed escalation dei privilegi.

Invece il CVE-2025-48543, a sua volta, colpisce Android Runtime, dove vengono eseguite le applicazioni Java/Kotlin e i servizi di sistema. Potenzialmente, consente a un’applicazione dannosa di aggirare la protezione sandbox e ottenere l’accesso a funzionalità di sistema di livello superiore.

Oltre ai due bug 0-day sfruttati attivamente, l’aggiornamento di settembre ha corretto quattro bug critici.

Il CVE-2025-48539, un bug di Remote Code Execution (RCE) nel componente di sistema Android, che consente a un aggressore che si trova in prossimità fisica o di rete (ad esempio, nel raggio di azione di Bluetooth o Wi-Fi) di eseguire codice arbitrario sul dispositivo senza alcuna interazione o privilegio da parte dell’utente.

Le vulnerabilità CVE-2025-21450, CVE-2025-21483 e CVE-2025-27034 riguardano componenti proprietari Qualcomm. Secondo i dettagli forniti da Qualcomm nel proprio bollettino sulla sicurezza , la vulnerabilità CVE-2025-21450 riguarda il sistema di controllo GPS, la vulnerabilità CVE-2025-21483 riguarda problemi con gli stack di dati di rete e la vulnerabilità CVE-2025-27034 riguarda un problema nel processore di chiamata multimodale.

Google ha tradizionalmente preparato due livelli di patch: 2025-09-01 e 2025-09-05, per dare ai partner la possibilità di correggere più rapidamente alcune delle vulnerabilità comuni a tutti i dispositivi Android.

L'articolo Android Colabrodo Edition: risolte 120 vulnerabilità e due zero-day proviene da il blog della sicurezza informatica.

Secondo quanto emerso, Chess.com, il gigante degli scacchi online, ha subito una violazione dei dati che ha messo a rischio le informazioni personali di 4.541 individui, come indicato in una documentazione inviata all’ufficio del procuratore generale dello stato del Maine.

L’incidente informatico è avvenuto il 5 giugno 2025 ed è stato scoperto quasi due settimane dopo, il 19 giugno 2025. Chess.com ha confermato che la violazione è stata il risultato di un attacco informatico esterno, in cui gli aggressori hanno ottenuto l’accesso non autorizzato a dati sensibili.

L’azienda ha riferito che gli hacker sono riusciti a ottenere nomi e dati personali, senza tuttavia fornire un dettaglio completo di tutti gli elementi di dati esposti. La violazione ha interessato utenti di diverse regioni, tra cui un residente del Maine.

Chess.com ha iniziato a informare le persone interessate tramite avvisi scritti il 3 settembre 2025. Per contribuire a proteggere la propria comunità, l’azienda offre 12 mesi di servizi gratuiti di protezione contro il furto di identità.

La notifica è stata presentata formalmente da Elias Colabelli, responsabile del dipartimento legale e responsabile della protezione dei dati di Chess.com, il quale ha sottolineato che l’azienda sta rafforzando i propri sistemi per prevenire incidenti simili in futuro.

Sebbene il numero di utenti interessati possa sembrare basso rispetto ad altre violazioni di dati su larga scala , l’incidente sottolinea come anche le principali piattaforme online rimangano obiettivi per i criminali informatici. Con oltre 150 milioni di utenti in tutto il mondo, Chess.com detiene un’enorme quantità di dati personali, il che lo rende un bersaglio redditizio per gli hacker.

Gli esperti di sicurezza informatica avvertono che violazioni di questo tipo possono aprire la strada a furti di identità, tentativi di phishing e ulteriori frodi se i dati rubati circolano nei mercati clandestini. Chess.com non ha ancora rivelato se le forze dell’ordine siano coinvolte nell’indagine. L’azienda afferma di continuare a lavorare per rafforzare i protocolli di sicurezza e monitorare attentamente i propri sistemi.

L'articolo Violazione dati Chess.com! Servizi gratuiti per gli utenti colpiti dal Data Breach proviene da il blog della sicurezza informatica.

It’s not every day we hear of a new space propulsion method. Even rarer to hear of one that actually seems halfway practical. Yet that’s what we have in the case of TFINER, a proposal by [James A. Bickford] we found summarized on Centauri Dreams by [Paul Gilster] .

TFINER stands for Thin-Film Nuclear Engine Rocket Engine, and it’s a hoot. The word “rocket” is in the name, so you know there’s got to be some reaction mass, but this thing looks more like a solar sail. The secret is that the “sail” is the rocket: as the name implies, it hosts a thin film of nuclear materialwhose decay products provide the reaction mass. (In the Phase I study for NASA’s Innovative Advanced Concepts office (NIAC), it’s alpha particles from Thorium-228 or Radium-228.) Alpha particles go pretty quick (about 5% c for these isotopes), so the ISP on this thing is amazing. (1.81 million seconds!)
Figure 3-1 From Bickford’s Phase I report shows the basic idea.
Now you might be thinking, “nuclear decay is isotropic! The sail will thrust equally in both directions and go nowhere!”– which would be true, if the sail was made of Thorium or Radium. It’s not; the radioisotope is a 9.5 um thin film on a 35 um beryllium back-plane that’s going to absorb any alpha emissions going the wrong way around. 9.5um is thin enough that most of the alphas from the initial isotope and its decay products (lets not forget that most of this decay chain are alpha emitters — 5 in total for both Th and Ra) aimed roughly normal to the surface will make it out.

Since the payload is behind the sail, it’s going to need a touch of shielding or rather long shrouds; the reference design calls for 400 m cables. Playing out or reeling in the cables would allow for some degree of thrust-vectoring, but this thing isn’t going to turn on a dime.

It’s also not going to have oodles of thrust, but the small thrust it does produce is continuous, and will add up to large deltaV over time. After a few years, the thrust is going to fall off (the half-life of Th-228 is 1.91 years, or 5.74 for Ra-228; either way the decay products are too short-lived to matter) but [Bickford]’s paper gives terminal/cruising velocity in either case of ~100 km/s.

Sure, that’s not fast enough to be convenient to measure as a fraction of the speed of light, and maybe it’s not great for a quick trip to Alpha Centauri but that’s plenty fast enough for to reach the furthest reaches of our solar system. For a flyby, anyway: like a solid-fueled rocket, once your burn is done, it’s done. Stopping isn’t really on offer here. The proposal references extra-solar comets like Oumuamua as potential flyby targets. That, and the focus of the Sun’s gravitational lens effect. Said focus is fortunately not a point, but a line, so no worries about a “blink and you miss it” fast-flyby. You can imagine we love both of those ideas.

NASA must have too, since NIAC was interested enough to advance this concept to a Phase II study. As reported at Centauri Dreams, the Phase II study will involve some actual hardware, albeit a ~1 square centimeter demonstrator rather than anything that will fly. We look forward to it. Future work also apparently includes the idea of combining the TFINER concept with an actual solar sail to get maximum possible delta-V from an Oberth-effect sundive. We really look forward to that one.

hackaday.com/2025/09/04/tfiner…