For the most part, the Radio Apocalypse series has focused on the radio systems developed during the early days of the atomic age to ensure that Armageddon would be as orderly an affair as possible. From systems that provided backup methods to ensure that launch orders would reach the bombers and missiles, to providing hardened communications systems to allow survivors to coordinate relief and start rebuilding civilization from the ashes, a lot of effort went into getting messages sent.

Strangely, though, the architects of the end of the world put just as much thought into making sure messages didn’t get sent. The electronic village of mid-century America was abuzz with signals, any of which could be abused by enemy forces. CONELRAD, which aimed to prevent enemy bombers from using civilian broadcast signals as navigation aids, is a perfect example of this. But the growth of civil aviation through the period presented a unique challenge, particularly with the radio navigation system built specifically to make air travel as safe and reliable as possible.

Balancing the needs of civil aviation against the possibility that the very infrastructure making it possible could be used as a weapon against the U.S. homeland is the purpose of a plan called Security Control of Air Traffic and Air Navigation Aids, or SCATANA. It’s a plan that cuts across jurisdictions, bringing military, aviation, and communications authorities into the loop for decisions regarding when and how to shut down the entire air traffic system, to sort friend from foe, to give the military room to work, and, perhaps most importantly, to keep enemy aircraft as blind as possible.

Highways in the Sky

As its name suggests, SCATANA has two primary objectives: to restrict the availability of radio navigation aids during emergencies and to clear the airspace over the United States of unauthorized traffic. For safety’s sake, the latter naturally follows the former. By the time the SCATANA rules were promulgated, commercial aviation had become almost entirely dependent on a complex array of beacons and other radio navigation aids. While shutting those aids down to deny their use to enemy bombers was obviously the priority, safety demanded that all the planes currently using those aids had to be grounded as quickly as possible.
The Rogue Valley VOR station in Table Rock, Oregon. According to the sectional charts, this is a VORTAC station. Source: ZabMilenko, CC BY 3.0, via Wikimedia Commons.
Understanding the logic behind SCATANA requires at least a basic insight into these radio navigation aids. The Federal Communications Commission (FCC) has jurisdiction over these aids, listing “VOR/DME, ILS, MLS, LF and HF non-directional beacons” as subject to shutdown in times of emergency. That’s quite a list, and while the technical details of the others are interesting, particularly the Adcock LF beacon system used by pilots to maneuver onto a course until alternating “A” and “N” Morse characters merged into a single tone, but for practical purposes, the one with the most impact on wartime security is the VOR system.

VOR, which stands for “VHF omnidirectional range,” is a global system of short-range beacons used by aircraft to determine their direction of travel. The system dates back to the late 1940s and was extensively built out during the post-war boom in commercial aviation. VOR stations define the “highways in the air” that criss-cross the country; if you’ve ever wondered why the contrails of jet airliners all follow similar paths and why the planes make turns at more or less the same seemingly random point in the sky, it’s because they’re using VOR beacons as waypoints.

In its simplest form, a VOR station consists of an omnidirectional antenna transmitting at an assigned frequency between 108 MHz and 117.95 MHz, hence the “VHF” designation. The frequency of each VOR station is noted on the sectional charts pilots use for navigation, along with the three-letter station identifier, which is transmitted by the station in Morse so pilots can verify which station their cockpit VOR equipment is tuned to.

Each VOR station encodes azimuth information by the phase difference between two synchronized 30 Hz signals modulated onto the carrier, a reference signal and a variable signal. In conventional VOR, the amplitude-modulated variable signal is generated by a rotating directional antenna transmitting a signal in-phase with the reference signal. By aligning the reference signal with magnetic north, the phase angle between the FM reference and AM variable signals corresponds to the compass angle of the aircraft relative to the VOR station.

youtube.com/embed/R0Vzaf14SKQ?…

More modern Doppler VORs, or DVORs, use a ring of antennas to electronically create the reference and variable signals, rather than mechanically rotating the antenna. VOR stations are often colocated with other radio navigation aids, such as distance measuring equipment (DME), which measures the propagation delay between the ground station and the aircraft to determine the distance between them, or TACAN, a tactical air navigation system first developed by the military to provide bearing and distance information. When a VOR and TACAN stations are colocated, the station is referred to as a VORTAC.

Shutting It All Down

At its peak, the VOR network around the United States numbered almost 1,000 stations. That number is on the decrease now, thanks to the FAA’s Minimum Operational Network plan, which seeks to retire all but 580 VOR stations in favor of cockpit GPS receivers. But any number of stations sweeping out fully analog, unencrypted signals on well-known frequencies would be a bonanza of navigational information to enemy airplanes, which is why the SCATANA plan provides specific procedures to be followed to shut the whole thing down.
Inside the FAA’s Washington DC ARTCC, which played a major role in implementing SCATANA on 9/11. Source: Federal Aviation Administration, public domain.
SCATANA is designed to address two types of emergencies. The first is a Defense Emergency, which is an outright attack on the United States homeland, overseas forces, or allied forces. The second is an Air Defense Emergency, which is an aircraft or missile attack on the continental U.S., Canada, Alaska, or U.S. military installations in Greenland — sorry, Hawaii. In either case, the attack can be in progress, imminent, or even just probable, as determined by high-ranking military commanders.

In both of those situations, military commanders will pass the SCATANA order to the FAA’s network of 22 Air Route Traffic Control Centers (ARTCC), the facilities that handle traffic on the routes defined by VOR stations. The SCATANA order can apply to all of the ARTCCs or to just a subset, depending on the scale of the emergency. Each of the concerned centers will then initiate physical control of their airspace, ordering all aircraft to land at the nearest available appropriate airport. Simultaneously, if ordered by military authority, the navigational aids within each ARTCC’s region will be shut down. Sufficient time is obviously needed to get planes safely to the ground; SCATANA plans allow for this, of course, but the goal is to shut down navaids as quickly as possible, to deny enemy aircraft or missiles any benefit from them.

As for the specific instructions for shutting down navigational aids, the SCATANA plan is understandable mute on this subject. It would not be advisable to have such instructions readily available, but there are a few crumbs of information available in the form of manuals and publicly accessible documents. Like most pieces of critical infrastructure these days, navaid ground stations tend to be equipped with remote control and monitoring equipment. This allows maintenance technicians quick and easy access without the need to travel. Techs can perform simple tasks, such as switching over from a defective primary transmitter to a backup, to maintain continuity of service while arrangements are made for a site visit. Given these facts, along with the obvious time-critical nature of an enemy attack, SCATANA-madated navaid shutdowns are probably as simple as a tech logging into the ground station remotely and issuing a few console commands.

A Day to Remember

For as long as SCATANA has been in effect — the earliest reference I could find to the plan under that name dates to 1968, but the essential elements of the plan seem to date back at least another 20 years — it has only been used in anger once, and even then only partially. That was on that fateful Tuesday, September 11, 2001, when a perfect crystal-blue sky was transformed into a battlefield over America.

By 9:25 AM Eastern, the Twin Towers had both been attacked, American Airlines Flight 77 had already been hijacked and was on its way to the Pentagon, and the battle for United Flight 93 was unfolding above Ohio. Aware of the scope of the disaster, staff at the FAA command center in Herndon, Virginia, asked FAA headquarters if they wanted to issue a “nationwide ground stop” order. While FAA brass discussed the matter, Ben Sliney, who had just started his first day on the job as operations manager at the FAA command center, made the fateful decision to implement the ground stop part of the SCATANA plan, without ordering the shutdown of navaids.

The “ground stop” orders went out to the 22 ARTCCs, which began the process of getting about 4,200 in-flight aircraft onto the ground as quickly and safely as possible. The ground stop was achieved within about two hours without any further incidents. The skies above the country would remain empty of civilian planes for the next two days, creating an eerie silence that emphasized just how much aviation contributes to the background noise of modern life.

youtube.com/embed/bo1ZtpKqlYw?…

hackaday.com/2025/09/18/radio-…

La piattaforma di sviluppo collaborativo GitLab ha annunciato la correzione di una vulnerabilità critica, identificata come CVE-2025-6454. Il problema riguardava le installazioni server delle edizioni Community ed Enterprise e consentiva l’esecuzione di richieste a risorse interne tramite intestazioni webhook appositamente create.

L’attacco richiedeva un account con privilegi di sviluppatore minimi e non era necessario alcun intervento da parte di altri utenti.

Il bug ha ricevuto un punteggio CVSS elevato di 8,5 su 10. Ha interessato le versioni dalla 16.11 alla 18.1.6, dalla 18.2 alla 18.2.6 e dalla 18.3 alla 18.3.2. Le correzioni sono state incluse nella versione 18.3.2, pubblicata il 10 settembre. GitLab ha sottolineato che il problema è stato scoperto tramite un programma di bug hunting e che il rapporto è stato redatto da un ricercatore con lo pseudonimo “ppee ” .

La vulnerabilità era unica in quanto consentiva di aggirare le restrizioni di isolamento della rete. Le richieste potevano essere inviate a proxy interni, servizi di metadati o API locali. Questo era visibile nei registri eventi tramite intestazioni HTTP non standard e richieste a indirizzi atipici. Gli esperti avvertono che tali attacchi potrebbero portare alla fuga di dati riservati e alla compromissione dell’integrità dell’infrastruttura.

Al momento della pubblicazione, non esiste alcun exploit pubblicamente disponibile, né vi sono prove di un effettivo sfruttamento. Tuttavia, il potenziale pericolo è elevato: la descrizione afferma che la vulnerabilità ha un impatto sulla riservatezza, la disponibilità e l’integrità dei dati.

Si consiglia agli sviluppatori di aggiornare GitLab alle versioni 18.1.6, 18.2.6 o 18.3.2 o successive il prima possibile. Si consiglia inoltre di rivedere le impostazioni dei webhook e di disabilitare l’uso di intestazioni personalizzate, se impostabili dagli utenti.

Per le distribuzioni basate su proxy inversi, si consiglia di limitare l’accesso di GitLab alle risorse interne. Si consiglia inoltre di monitorare i log per individuare richieste sospette e di segmentare la rete per impedire accessi indesiderati.

L'articolo GitLab risolve vulnerabilità critica: pericolo per server Community ed Enterprise proviene da il blog della sicurezza informatica.

I ricercatori di sicurezza hanno scoperto la compromissione di oltre 180 pacchetti npm, infettati da un malware auto-propagante progettato per infettare altri pacchetti. La campagna, soprannominata Shai-Hulud, è probabilmente iniziata con l’hacking del pacchetto @ctrl/tinycolor, scaricato oltre 2 milioni di volte a settimana.

Il nome Shai-Hulud deriva dai file shai-hulud.yaml utilizzati dal malware. È un riferimento ai giganteschi vermi delle sabbie di Dune di Frank Herbert. Il problema è stato portato per la prima volta all’attenzione dello sviluppatore Daniel Pereira, che ha avvisato la comunità di un attacco su larga scala alla catena di fornitura.

“In questo momento, mentre leggete questo, è in corso la distribuzione di malware all’interno di npm”, ha affermato Pereira, esortando tutti a non installare le ultime versioni di @ctrl/tinycolor.

Lo sviluppatore ha tentato di avvisare il team di sicurezza di GitHub tramite canali privati, poiché gli aggressori avevano preso di mira “repository multipli” e divulgare pubblicamente l’attacco avrebbe potuto creare ulteriori rischi. Tuttavia, contattare GitHub si è rivelato troppo difficile, quindi Pereira ha segnalato pubblicamente il problema.

I ricercatori di Socket e Aikido stanno attualmente indagando sull’incidente e hanno scoperto che almeno 187 pacchetti sono stati compromessi. Tra i pacchetti interessati, diversi sono pubblicati dall’account npmjs dell’azienda di sicurezza informatica CrowdStrike.

“Dopo aver scoperto diversi pacchetti dannosi nel registro pubblico npm (un repository open source di terze parti), li abbiamo rimossi rapidamente e aggiornato preventivamente le nostre chiavi”, hanno riferito i rappresentanti di CrowdStrike. “Questi pacchetti non sono utilizzati da Falcon, la nostra piattaforma non è interessata e i clienti rimangono protetti. Stiamo collaborando con npm e conducendo un’indagine approfondita.”

ReversingLabs, a sua volta, descrive questo incidente come “il primo del suo genere, un worm autoreplicante che infetta i pacchetti npm e ruba i token cloud”. I ricercatori ritengono che l’attacco abbia avuto origine nel pacchetto rxnt-authentication, una versione dannosa del quale è stata pubblicata su npm il 14 settembre 2025.

Secondo ReversingLabs, il responsabile di techsupportrxnt può essere considerato il “paziente zero”. La chiave per scoprire la fonte dell’attacco risiede nel modo esatto in cui l’account techsupportrxnt è stato compromesso. È possibile che tutto sia iniziato con un’email di phishing o con lo sfruttamento di una GitHub Action vulnerabile.

Le versioni compromesse dei pacchetti sono dotate di un meccanismo di autopropagazione del malware, che prende di mira altri pacchetti dei gestori interessati. Secondo i ricercatori di Socket, il malware ha scaricato ogni pacchetto dal manutentore, ha modificato il suo package.json, ha iniettato lo script bundle.js, ha riconfezionato l’archivio e lo ha pubblicato di nuovo, “garantendo così la trojanizzazione automatica dei pacchetti downstream”.

Lo script bundle.js utilizza TruffleHog, uno scanner legittimo per la ricerca di segreti, progettato per sviluppatori e professionisti di sicurezza. TruffleHog consente di rilevare informazioni riservate trapelate accidentalmente, come chiavi API, password e token, da repository e altre fonti. Lo script dannoso ha abusato dello strumento per trovare token e credenziali cloud.

L'articolo Supply Chain Wormable? Arrivano i pacchetti NPM con malware auto-propagante proviene da il blog della sicurezza informatica.

When we see an extremely DIY project, you always get someone who jokes “well, you didn’t collect sand and grow your own silicon”. [Patrícia J. Reis] and [Stefanie Wuschitz] did the next best thing: they collected local soil, sieved it down, and fired their own clay PCB substrates over a campfire. They even built up a portable lab-in-a-backpack so they could go from dirt to blinky in the woods with just what they carried on their back.

This project is half art, half extreme DIY practice, and half environmental consciousness. (There’s overlap.) And the clay PCB is just part of the equation. In an effort to approach zero-impact electronics, they pulled ATmega328s out of broken Arduino boards, and otherwise “urban mined” everything else they could: desoldering components from the junk bin along the way.

The traces themselves turned out to be the tricky bit. They are embossed with a 3D print into the clay and then filled with silver before firing. The pair experimented with a variety of the obvious metals, and silver was the only candidate that was both conductive and could be soldered to after firing. Where did they get the silver dust? They bought silver paint from a local supplier who makes it out of waste dust from a jewelry factory. We suppose they could have sat around the campfire with some old silver spoons and a file, but you have to draw the line somewhere. These are clay PCBs, people!

Is this practical? Nope! It’s an experiment to see how far they can take the idea of the pre-industrial, or maybe post-apocalyptic, Arduino. [Patrícia] mentions that the firing is particularly unreliable, and variations in thickness and firing temperature lead to many cracks. It’s an art that takes experience to master.

We actually got to see the working demos in the flesh, and can confirm that they did indeed blink! Plus, they look super cool. The video from their talk is heavy on theory, but we love the practice.

DIY clay PCBs make our own toner transfer techniques look like something out of the Jetsons.

media.ccc.de/v/38c3-clay-pcb/o…

hackaday.com/2025/09/18/pcbs-t…

L’Alta Corte di Londra ha annullato la decisione di estradare il cittadino portoghese Diogo Santos Coelho negli Stati Uniti. Il giovane, noto con lo pseudonimo di Omnipotent, era l’amministratore di uno dei più grandi forum di hacker, RaidForums.

La storia inizia nel gennaio 2022, quando Coelho si reca nel Regno Unito per far visita alla madre. Lì viene arrestato. Da allora, è in un limbo da più di tre anni: due Paesi si contendono la sua estradizione.

Gli Stati Uniti chiedono l’estradizione di Coelho per crimini legati alla gestione di RaidForums. Il Portogallo ha inviato un proprio ordine, citando i danni arrecati alle sue organizzazioni e ai suoi cittadini.

Lo stesso Coelho voleva recarsi in Portogallo e ha ufficialmente accettato l’estradizione.

Le autorità britanniche si sono trovate in una situazione difficile. La legge prevede una procedura speciale nel caso in cui più paesi richiedano l’estradizione di una persona. Ma nel suo caso queste regole non sono state rispettate.

Il Ministro dell’Interno ordinò che Coelho fosse trasferito negli Stati Uniti, ma lo fece frettolosamente. Il tribunale stabilì che la decisione si basava su documenti inesatti e che era stata presa senza tenere conto della posizione della difesa.

Il problema principale era che a Coelho non fu data l’opportunità di presentare le sue argomentazioni per l’estradizione in Portogallo. Le sue argomentazioni non furono nemmeno prese in considerazione.

Il giudice Linden ha riscontrato diverse violazioni. Secondo l’ordinanza del tribunale, al ministro è stato detto che le accuse statunitensi e portoghesi erano “identiche”, sebbene l’ordinanza portoghese includesse ulteriori accuse di riciclaggio di denaro e frode fiscale.

Inoltre, la decisione si basava sul presupposto che tutte le vittime si trovassero negli Stati Uniti. Ma le prove dimostravano il contrario: le vittime erano sparse in tutto il mondo, compreso il Portogallo stesso.

La corte ha inoltre affermato che il ministro non ha tenuto conto della natura più grave delle accuse portoghesi e dei legami personali di Coelho con il Paese. Gli è stato diagnosticato l’autismo, è a rischio di suicidio e riceve assistenza familiare e terapeutica nel suo Paese d’origine.

Il Ministero dell’Interno è ora tenuto a riesaminare le richieste concorrenti. A Coelho è stato concesso il diritto di presentare le sue argomentazioni prima che venga presa una nuova decisione.

Come ha osservato lo stesso Coelho, questo non garantisce l’estradizione in Portogallo, ma dà ai suoi avvocati la possibilità di essere ascoltati. Tra le argomentazioni della difesa c’è il fatto che alcuni dei presunti crimini siano stati commessi quando era minorenne, nonché il suo status di vittima della tratta di esseri umani.

L'articolo Il RE di RaidForums resta in bilico. La battaglia tra USA e Portogallo per la sua estradizione proviene da il blog della sicurezza informatica.

Fausto Amodei, l'autore, ci ha lasciato oggi.

youtube.com/watch?v=WmFYVEiXGy…

What has the EDRi network been up to over the summer? Find out the latest digital rights news in our bi-weekly newsletter. In this edition: age verification gains traction, EU’s deregulation spree risks entire digital rulebook, & more!

The post EDRi-gram, 17 September 2025 appeared first on European Digital Rights (EDRi).