Gli antibiotici per la malattia infiammatoria intestinale possono essere un’arma a doppio taglio. Pur sopprimendo l’infiammazione, uccidono anche i batteri benefici, non solo quelli nocivi. Questo spesso peggiora i sintomi. In questa situazione, i farmaci generici si rivelano uno strumento troppo poco efficace.

Scienziati del Massachusetts Institute of Technology (MIT) e della McMaster University hanno segnalato la scoperta di una nuova molecola chiamata enterololina. Agisce selettivamente, sopprimendo i batteri associati alle riacutizzazioni del morbo di Crohn (MICI), lasciando il resto del microbioma intestinale sostanzialmente inalterato.

Per comprenderne il meccanismo d’azione, i ricercatori hanno utilizzato il modello di intelligenza artificiale generativa DiffDock, che ha ridotto il tempo dalla ricerca all’analisi a pochi mesi, anziché anni come di consueto.

Negli esperimenti sui topi, il farmaco ha soppresso selettivamente l’Escherichia coli, che aumenta l’infiammazione, e ha aiutato gli animali a riprendersi più rapidamente. Inoltre, il microbioma è rimasto significativamente più sano rispetto al trattamento con l’antibiotico standard vancomicina.

DiffDock ha previsto che la molecola si lega al complesso proteico LolCDE, responsabile del trasporto delle lipoproteine nei batteri. Questo indizio ha permesso ai ricercatori di testare la loro ipotesi in laboratorio: hanno allevato ceppi di E. coli resistenti all’enterololina, condotto il sequenziamento dell’RNA e utilizzato CRISPR per confermare il meccanismo d’azione.

Tutti gli esperimenti hanno dimostrato che il farmaco interrompe effettivamente le vie associate al trasporto delle lipoproteine, come previsto dall’IA.

Gli autori sottolineano che tradizionalmente la ricerca del meccanismo d’azione di nuovi antibiotici richiede fino a due anni e costa milioni di dollari. In questo caso, l’intelligenza artificiale ha ridotto i tempi a sei mesi, riducendo significativamente i costi.

Stoked Bio, fondata da uno degli autori dello studio, sta attualmente sviluppando ulteriormente l’enterololina e preparandola per la sperimentazione umana. Sono inoltre in corso ricerche su derivati della molecola contro altri patogeni pericolosi, tra cui Klebsiella pneumoniae.

La promessa di antibiotici mirati è particolarmente importante per i pazienti affetti da morbo di Crohn e altre malattie infiammatorie intestinali: nuovi farmaci potrebbero ridurre i sintomi senza alterare il microbioma. Su scala più ampia, tali sviluppi potrebbero fornire una risposta alla crescente minaccia della resistenza batterica agli antibiotici esistenti.

Gli scienziati sottolineano che non è importante solo una singola molecola. L’approccio in sé è cruciale: una combinazione di intelligenza artificiale e metodi di laboratorio consente di chiarire rapidamente il funzionamento di potenziali farmaci. Questo potrebbe trasformare il processo di scoperta di nuovi farmaci per molte malattie.

I ricercatori hanno pubblicato i dati del sequenziamento su repository pubblici e hanno reso il codice DiffDock-L open sourcesu GitHub.

L'articolo L’AI che ci piace! Da anni a pochi mesi per la scoperta di una molecola contro il morbo di Crohn proviene da il blog della sicurezza informatica.

Sometimes it’s nice when you can do everything you need to do with just one single port. In this vein, [Nicola Strappazzon] whipped up a circuit to combine serial and UPDI programming in a very convenient way.

As an example, [Nicola] demonstrates the concept using an AVR128DA28 microcontroller. It’s paired with a 4052 multiplexer IC and a CH340 USB-to-serial chip. Everything is wired up such that the 4052 acts as a switch for the signal coming from the CH340. When the RTS flow-control signal is set high, it switches the 4052 to hook up the CH340’s RX and TX pins to the UDPI interface on the AVR microcontroller. Conversely, when the RTS signal is set low, the CH340 is instead hooked up to the serial UART on the microcontroller. From there, it’s a simple matter of configuring avrdude to properly set the RTS pin when attempting to program the attached device.

If you’re working with UPDI devices and you want to be able to talk to them and program them with a minimum of fuss, this project might be useful for you. We’ve looked at dedicated UPDI programmers before, too. If you’re cooking up your own nifty microcontroller hacks, don’t hesitate to let us know on the tipsline.

hackaday.com/2025/10/04/serial…

Un fornitore di servizi clienti di terze parti è stato compromesso dagli hacker, che hanno avuto accesso a informazioni parziali sui pagamenti e a dati di identificazione personale relativi ad alcuni utenti di Discord. L’attacco, avvenuto il 20 settembre, ha interessato un numero limitato di utenti che avevano avuto contatti con l’assistenza clienti di Discord e/o con i team Trust and Safety.

La società di messaggistica, nella notifica inviata agli utenti coinvolti, precisa che il 20 settembre si è verificato l’attacco e che “un soggetto non autorizzato ha acquisito un accesso ristretto ad un sistema di supporto clienti di terza parte usato da Discord”.

Originariamente concepito come mezzo di comunicazione per appassionati di videogiochi, che costituiscono più del 90% degli utenti iscritti, Discord si è trasformato in una piattaforma versatile accogliente varie comunità, offrendo la possibilità di scambiare messaggi tramite testo, intrattenere conversazioni attraverso chat vocali e effettuare videochiamate.

Venerdì, Discord ha reso pubblico l’incidente, affermando di aver preso provvedimenti immediati per isolare il fornitore di supporto dal suo sistema di ticketing e di aver avviato un’indagine. “Ciò include la revoca dell’accesso del fornitore di assistenza clienti al nostro sistema di ticketing, l’avvio di un’indagine interna, l’assunzione di una società leader di informatica forense per supportare i nostri sforzi di indagine e bonifica e il coinvolgimento delle forze dell’ordine”.

L’attacco pare avere una natura finanziaria, visto che gli hacker hanno richiesto a Discord un pagamento per non divulgare le informazioni trafugate. Secondo le statistiche della piattaforma, più di 200 milioni di persone utilizzano Discord ogni mese.

Le informazioni trapelate comprendono dati personali identificativi, quali nomi effettivi e nomi utente, indirizzi e-mail e ulteriori informazioni di contatto fornite all’équipe di supporto. Il servizio di comunicazione sociale ha reso noto che sono stati violati anche indirizzi IP, messaggi e allegati scambiati con gli agenti del servizio clienti. Gli hacker hanno avuto accesso anche alle foto dei documenti di identità rilasciati dal governo (patente di guida, passaporto) di un numero limitato di utenti.

Ad oggi, resta incerto il numero di utenti Discord coinvolti e non è stato divulgato il nome del fornitore esterno o del vettore di accesso. E’ importante sottolineare che numerose aziende hanno subito violazioni delle loro istanze Salesforce in seguito all’intrusione del gruppo di estorsione ShinyHunters, i quali hanno sfruttato token OAuth rubati da Salesloft e Drift per ottenere l’accesso.

L'articolo Discord conferma attacco hacker: informazioni sensibili a rischio proviene da il blog della sicurezza informatica.

It was one of those weeks last week at Hackaday’s home office. My mother-in-law handed me her favorite power bank and said “it’s not charging”. She had every expectation that I’ll open it up, desolder the weary pouch inside, scrounge a LiPo out of some corner of the basement, and have it back up and running before the weekend. And of course that’s what happened, although maybe it looks a little worse for wear because it was hard to open the sealed case without excessive force. Sorry about that!

Then on the weekend, I finally got fed up with the decomposing foam on the face seal on my FPV goggles. It was leaking light all over the place. Of course I could have bought a new seal, but then I’d have to wait a week or so for delivery. So I pulled the velcro backing off, tossed it in the bed scanner, pulled the image up in Inkscape, converted it to Gcode, and cut out a couple seals out of EVA foam on the laser. Not only are they essentially indestructible, but I was able to customize them a little bit, and the fit is now better than ever.

And then, one of our neighbors bought a new garage door fob, flipped the DIP switches into the right configuration, and couldn’t figure out why it wouldn’t open the garage door. Knock knock knock. Using the tried-and-true RF probe that everyone with a scope probe has sitting around, namely hooking the ground pin to the tip and putting the radio device in the loop, it was clear that the sense of the DIP switches was inverted from what it said in the instructions. That was a fun little puzzle.

It was the garage door opener that triggered me to think about how normal people would handle any of these situations. “How do the normies even get by?” were the exact words that went through my head. And let’s face it: we’re not entirely normal. Normal people don’t have a soldering setup just sitting around ready to get hot 24/7, or a scope to diagnose a garage door RF transmitter at the drop of a hat. But these things seem to happen to me all the time. How do the normal people survive? Maybe they all know someone with a scope?

I take it as my service to the world to be “that guy” for most of our friends and family, and I pretty much do it without complaint. “With great power” and all that. My wife is just about as gracious when she’s stuck debugging a parent’s Windows setup, so I’m not saying I’m the only saint in the world, either. Surely you have similar stories.

But last week it made me reflect on how good we’ve got it, and that does make me want to pay it forward a little bit. If you’re one of the people who can, try to help out those who can’t.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/10/04/how-do…

It’s a well-known conundrum that while most computers these days are digital in nature, almost nothing in nature is. Most things we encounter in the real world, whether it’s temperature, time, sound, pressure, or any other measurable phenomenon comes to us in analog form. To convert these signals to something understandable by a digital converter we need an analog-to-digital converter or ADC, and [Igor] has built a unique one from scratch called a delta sigma converter.

What separates delta sigma converters apart is their high sampling rate combined with a clever way of averaging the measurements to get a very precise final value. In [Igor]’s version this average is provided by an op-amp that integrates the input signal and a feedback signal, allowing for an extremely precise digital value to be outputted at the end of the conversion process. [Igor] has built this one from scratch as well, and is using it to interface a magnetic rotary encoder to control digital audio playback.

Although he has this set up with specific hardware, he has enough detail in his video (including timing diagrams and explanations of all of the theory behind these circuits) for anyone else to build one of these for other means, and it should be easily adaptable for plenty of uses. There are plenty of different ADC topologies too, and we saw many different ones a few years ago during our op-amp challenge.

youtube.com/embed/xxEFUu-V63g?…

hackaday.com/2025/10/04/a-high…

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato.

Non stiamo parlando del solito script improvvisato; dietro SoopSocks c’è una catena di azioni pensata per ottenere persistenza, ridurre il rumore e stabilire un canale di comando/controllo stabile. Il pacchetto è stato pubblicato su PyPI (Python Package Index), il registro ufficiale dei pacchetti Python.

Il pacchetto ingannevole, denominato “soopsocks“, ha totalizzato 2.653 download prima di essere rimosso. È stato caricato per la prima volta da un utente di nome “soodalpie” il 26 settembre 2025, la stessa data di creazione dell’account.

Questa combinazione è pensata per massimizzare la percentuale di successo: componenti compilati per l’esecuzione, script per l’integrazione e meccanismi nativi per la persistenza. Il risultato è un pacchetto che funziona come “utility” e nello stesso tempo costruisce un punto di appoggio remoto.

Strategia dell’attaccante: stealth e affidabilità

SoopSocks si presentava come una libreria Python, riportano i ricercatori di sicurezza, per offrire un proxy SOCKS5. In realtà, su Windows metteva in piedi un piccolo impianto di backdoor persistente: si installava come servizio, apriva la porta giusta sul firewall, rimaneva attivo ai riavvii e inviava periodicamente informazioni all’esterno.

Come entra e si installa: dopo l’installazione, il pacchetto non si limitava ai moduli Python. In alcune versioni depositava un eseguibile compilato (scritto in Go) e uno o più script di orchestrazione (PowerShell/VBScript). Questi componenti servivano per:

• installare un servizio Windows con avvio automatico (così si riaccendeva ad ogni boot);
• predisporre un piano B di persistenza tramite un’attività pianificata, se la creazione del servizio falliva;
• eseguire comandi PowerShell in modalità “silenziosa” (bypassando le execution policy e riducendo i messaggi a schermo) per configurarsi e restare sotto traccia.

Cosa fa una volta attivo

Ufficialmente esponeva un proxy SOCKS5 (tipicamente sulla porta 1080). Dietro le quinte:

• aggiungeva regole al firewall per aprire la porta del proxy, così il traffico in ingresso non veniva bloccato;
• manteneva persistenza (servizio + task) in modo da sopravvivere a riavvii o tentativi di “pulizia” incompleti;
• avviava una telemetria a basso profilo: a intervalli regolari raccoglieva informazioni sulla macchina (nome host, versione del sistema, configurazione e stato della rete, indirizzi IP) e le spediva verso l’esterno usando canali comuni (HTTPS), di solito con pacchetti piccoli e frequenti per non dare nell’occhio.

Perché è difficile da notare

Molte azioni passavano per strumenti legittimi di Windows (PowerShell, Task Scheduler, gestione firewall). Agli occhi di un monitoraggio basato solo su firme, queste operazioni possono sembrare normali attività amministrative. Inoltre, offrendo davvero un SOCKS5 “funzionante”, il pacchetto abbassava la soglia di sospetto: chi lo provava vedeva che “fa il suo dovere” e raramente andava a controllare i componenti extra.

Il punto chiave

SoopSocks univa funzionalità utile (il proxy) e meccaniche di intrusione/persistenza ben note. Questo mix trasformava una libreria apparentemente innocua in un punto d’appoggio remoto: un host che l’attaccante può usare come proxy controllabile e da cui raccogliere dati, con un profilo di “rumore” di rete volutamente basso.

Questa strategia dimostra una conoscenza pratica di come operano team di difesa aziendali: gli attaccanti progettano le loro tecniche per apparire «normali» rispetto al profilo operativo quotidiano. L’utilizzo di ambienti di sviluppo, come punto di diffusione, permette di creare punti di persistenza per movimenti laterali. Inoltre l’utilizzo i repository interni/locali possono conservare versioni malevoli anche dopo che sono state rimosse online, perché restano in cache.
Senza regole di verifica e pulizia periodica, i team di sviluppo rischiano di continuare a usarle senza accorgersene.

SoopSocks non ha rivoluzionato il panorama delle minacce, ma ha mostrato come la combinazione di componenti legittimi e tecniche già collaudate possa trasformare una libreria in un serio vettore di compromissione. Per le organizzazioni la sfida non è solo tecnica, ma soprattutto processuale: difendere la filiera software richiede controlli e procedure

L'articolo SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows proviene da il blog della sicurezza informatica.

Il 2 ottobre il Financial Times ha pubblicato un’analisi di Mike Kuiken, ricercatore presso l’Hoover Institution e consulente senior per la sicurezza nazionale. L’esperto ha messo in guardia contro un rischio poco discusso ma rilevante: la crescente dipendenza degli Stati Uniti dalla Cina nella produzione dei cosiddetti “chip di base”.

Mentre l’attenzione politica e industriale americana è concentrata sui semiconduttori avanzati destinati all’intelligenza artificiale, Pechino starebbe consolidando una posizione dominante nel mercato dei chip maturi, ossia quelli con processo produttivo a 28 nanometri o superiore. Questi componenti, spesso considerati erroneamente obsoleti, sono invece indispensabili per il funzionamento di un’ampia gamma di tecnologie: automobili, dispositivi medici, sistemi di difesa e infrastrutture critiche come reti elettriche e di telecomunicazioni.

Kuiken ha ricordato che la Cina detiene già circa il 40% della capacità produttiva globale in questo settore e che la sua influenza è destinata a crescere entro il 2030. Secondo l’analista, questa dipendenza rappresenta una vulnerabilità strategica per Washington, poiché i chip di base costituiscono l’ossatura di molti sistemi militari, dai caccia F-16 ai missili Patriot e Javelin. Per il Pentagono, perdere il controllo della catena di fornitura significherebbe compromettere la sicurezza stessa dell’arsenale americano.

Nella sua analisi, Kuiken ha chiesto che il governo statunitense completi rapidamente l’indagine della Sezione 301 sui chip maturi cinesi con “azioni decisive”. Le misure suggerite includono politiche industriali più ampie dei semplici dazi, maggiore trasparenza da parte delle aziende statunitensi sulle catene di fornitura e nuovi investimenti federali nei chip di base.

Secondo Kuiken, ignorare questa minaccia avrebbe conseguenze potenzialmente gravi: ogni automobile, ogni missile e ogni apparecchiatura medica prodotta negli Stati Uniti rischierebbe di trasformarsi in uno strumento di pressione nelle mani di Pechino.

A suo avviso, questa situazione ridurrebbe anche la capacità americana di mantenere un equilibrio strategico nello Stretto di Taiwan.

L'articolo Chip di base, allarme USA: Troppo dipendenti dalla Cina entro il 2030 proviene da il blog della sicurezza informatica.

Il Regno Unito ha tentato nuovamente di costringere Apple ad accedere ai backup crittografati dei dati degli utenti archiviati su iCloud. La nuova richiesta arriva sei mesi dopo che l’azienda ha disattivato la sua funzionalità di archiviazione cloud più sicura, Advanced Data Protection, per tutti gli utenti del Paese.

La decisione di Apple ha fatto seguito a una precedente richiesta più restrittiva del governo britannico, che riguardava i dati non solo dei residenti nel Regno Unito, ma anche dei cittadini statunitensi, provocando una controversia diplomatica con Washington.

Secondo fonti vicine alla questione, all’inizio di settembre il Ministero dell’Interno del Regno Unito ha inviato ad Apple una notifica in cui le ordinava di implementare un sistema per accedere ai dati crittografati, ma con la precisazione che tale requisito si applicava solo ai cittadini del Regno Unito.

In precedenza, a gennaio, un avviso simile ai sensi dell’Investigatory Powers Act prevedeva una copertura globale, provocando una dura reazione da parte dell’amministrazione di Donald Trump. In risposta, Apple ha sospeso la modalità ADP nel Regno Unito a febbraio e ha presentato un reclamo al Surveillance Tribunal.

L’azienda ha dichiarato di non poter ancora offrire una protezione dei dati avanzata ai nuovi utenti nel Regno Unito, il che solleva serie preoccupazioni dato il crescente numero di violazioni dei dati e minacce alla privacy digitale. Apple ha ribadito di non creare, né intende creare, chiavi di accesso universali o meccanismi nascosti per aggirare la crittografia nei suoi prodotti e servizi.

Secondo la legislazione vigente, le parti non sono autorizzate a commentare il contenuto delle notifiche tecniche. Tuttavia, i rappresentanti del Ministero degli Interni hanno sottolineato che l’agenzia continuerà ad adottare tutte le misure possibili al suo interno per garantire la sicurezza dei cittadini.

Nel frattempo, le organizzazioni per i diritti umani avvertono che anche l’implementazione parziale di tali requisiti rappresenta una minaccia per gli utenti di tutto il mondo. Secondo gli avvocati, qualsiasi indebolimento della crittografia end-to-end in una regione rende automaticamente i sistemi vulnerabili a livello globale, poiché la falla che ne deriva potrebbe essere sfruttata da aggressori o agenzie governative di altri Paesi.

La campagna legale contro le richieste delle autorità britanniche, avviata da Apple con il supporto delle organizzazioni per i diritti umani Privacy International e Liberty, avrebbe dovuto essere discussa l’anno prossimo. Tuttavia, la nuova notifica potrebbe riaprire il procedimento legale.

Le richieste di divulgazione dei dati vengono emesse come avvisi tecnici (TCN) e vengono effettuate ai sensi dell’Investigatory Powers Act, che consente alle agenzie di intelligence di accedere a informazioni crittografate allo scopo di combattere il terrorismo e i crimini contro i minori.

A gennaio, questo strumento ha provocato una dura reazione da parte di alti funzionari statunitensi, tra cui il vicepresidente J.D. Vance e il direttore dell’intelligence nazionale Tulsi Gabbard. Hanno insistito affinché il Regno Unito abbandonasse le richieste di accesso ai dati degli utenti statunitensi, sottolineando che qualsiasi interferenza con i sistemi Apple indebolisce la sicurezza anche in altri Paesi.

Durante la recente visita di Donald Trump a Londra, dove lui e il Primo Ministro Kiir Starmer hanno annunciato investimenti multimiliardari in infrastrutture di intelligenza artificiale nel Regno Unito, i rappresentanti della delegazione americana hanno nuovamente sollevato la questione del conflitto con Apple. Tuttavia, secondo alcune fonti, l’amministrazione statunitense non insiste più per revocare l’ultimo avviso, poiché non riguarda i dati degli utenti americani.

L'articolo Una backdoor può essere implementata per un solo paese? Apple resiste alle richieste del Regno Unito proviene da il blog della sicurezza informatica.

The MOS Technologies 6581, or SID, is perhaps the integrated circuit whose sound is most sought-after in the chiptune world. Its three voices and mix of waveforms define so much of our collective memories of 1980s computing culture, so it’s no surprise that modern musicians seek out SID synthesisers of their own. One of these is the MIDISID, produced by [MIDI IN], and in a recent video she investigates an unexpected tuning problem.

It started when she received customer reports of SIDs that were out of tune, and in the video she delves deeply into the subject. The original SID gained its timing from a clock signal provided by the Commodore 64, with thus different timing between NTSC and PAL versions of the machine. This meant European SID music needed different software values to American compositions, and along the way she reveals a localisation error in that the British Commodore 64 manual had the wrong table of values.

Modern SIDs are emulated unless you happen to have an original, and her problem came when switching from one emulated SID to another. The first one used that clock pin while the second has its own clock, resulting in some music being off-tune. It’s a straightforward firmware fix for her, but an interesting dive into how these chips worked for the rest of us.

youtube.com/embed/IzaTj7M8bOE?…

Image: Taras Young, CC BY-SA 4.0.

hackaday.com/2025/10/04/how-yo…

In un noto forum underground è recentemente apparso un post che sta attirando l’attenzione della comunità di cybersecurity. Un utente con il nickname KaruHunters, figura già conosciuta per la sua attività all’interno di circuiti criminali digitali, ha pubblicato un annuncio in cui sostiene di essere in possesso dei dati compromessi di RIPE NCC (Réseaux IP Européens Network Coordination Centre).

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Il post nel forum underground

Nel post, KaruHunters dichiara esplicitamente: “Today I am selling RIPE NCC Data Breach, thanks for reading and enjoy!”. L’attore rivendica un presunto attacco informatico avvenuto nell’ottobre 2025 ai danni del RIPE NCC, che avrebbe portato all’esfiltrazione di codice sorgente privato e strumenti interni dell’organizzazione. Viene menzionata anche una compromissione che include un’alberatura dei dati, senza tuttavia fornire dettagli tecnici concreti nel messaggio pubblico.

Un elemento di particolare rilievo è la parte commerciale dell’annuncio: i dati vengono messi in vendita a partire da 500 dollari (con possibilità di negoziazione), mentre l’accesso interno ai sistemi compromessi viene offerto a 1.200 dollari. KaruHunters aggiunge inoltre che le informazioni sottratte riguarderebbero un’entità con un fatturato dichiarato di 37,5 milioni di dollari, sebbene questa cifra debba essere trattata con cautela e verificata.

Il post è stato corredato da un logo del RIPE NCC, un dettaglio che rientra spesso nelle strategie di social engineering adottate dai criminali per conferire maggiore credibilità alle loro offerte. Tuttavia, come spesso accade in questi casi, non sono state fornite prove verificabili a supporto della presunta intrusione, almeno non nel messaggio pubblico. È probabile che eventuali “proof of concept” vengano condivise soltanto in trattative private con potenziali acquirenti.

Cos’è il RIPE

Il RIPE NCC (Réseaux IP Européens Network Coordination Centre) è il Regional Internet Registry (RIR) responsabile per l’Europa, il Medio Oriente e alcune parti dell’Asia centrale. Si tratta di un’organizzazione no-profit con sede ad Amsterdam, fondata nei primi anni ’90, che ha il compito principale di gestire e distribuire le risorse numeriche di Internet, come gli indirizzi IP e i Numeri di Sistema Autonomo (ASN).

Il RIPE NCC non va confuso con il RIPE (Réseaux IP Européens), che è una comunità aperta di operatori di rete e specialisti. Mentre la comunità RIPE si occupa di definire politiche e linee guida per il funzionamento della rete, il RIPE NCC è l’entità che mette in pratica tali decisioni attraverso la gestione operativa delle risorse.

Tra i compiti principali del RIPE NCC rientrano:

• l’assegnazione e la registrazione di indirizzi IPv4 e IPv6;
• la distribuzione dei Numeri di Sistema Autonomo (ASN);
• la gestione del RIPE Database, un archivio pubblico che contiene informazioni tecniche e amministrative relative a indirizzi IP e ASN;
• il supporto tecnico alla comunità di operatori e provider;
• attività di ricerca e monitoraggio della stabilità di Internet a livello globale.

Il ruolo del RIPE NCC è cruciale per il funzionamento ordinato e trasparente della rete, poiché garantisce che l’allocazione delle risorse IP avvenga in modo equo, tracciabile e conforme alle politiche stabilite dalla comunità. In sostanza, rappresenta una delle fondamenta invisibili ma indispensabili per il funzionamento di Internet come lo conosciamo oggi.

Il profilo del threat actors e i potenziali impatti

Il profilo di KaruHunters all’interno del forum mostra un livello di reputazione piuttosto elevato, con 154 punti e la qualifica di “GOD”, indice di un certo riconoscimento da parte della community. L’utente risulta registrato dal mese di agosto 2024, con all’attivo 26 post e 18 thread aperti. Questo dato rafforza l’idea che non si tratti di un nuovo arrivato, ma di un soggetto che ha saputo conquistare credibilità nel contesto criminale.

Se confermato, un data breach ai danni di RIPE NCC avrebbe conseguenze potenzialmente gravi per l’intero ecosistema di internet europeo e non solo, poiché l’organizzazione gestisce informazioni sensibili legate alla connettività di rete globale. Tuttavia, non è raro che su questi forum vengano pubblicati annunci esagerati o falsi, utilizzati più come operazioni di marketing criminale che come reali vendite di dati compromessi.

In conclusione, il post di KaruHunters va preso con la dovuta cautela. Da un lato, la reputazione dell’utente nel forum conferisce un certo peso alla sua dichiarazione; dall’altro, l’assenza di prove tangibili impone di attendere verifiche indipendenti. Quel che è certo è che la semplice comparsa di questo annuncio rappresenta un campanello d’allarme per il settore della sicurezza informatica, ricordando quanto gli attori malevoli siano costantemente alla ricerca di punti critici nelle infrastrutture che regolano internet stesso.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’organizzazione qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione. RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

L'articolo KaruHunters rivendica un Attacco Informatico ai danni del RIPE NCC proviene da il blog della sicurezza informatica.