dalla pagina di Roberto Vallepiano
(grazie a Tano D'Amico)

facebook.com/share/p/1AZRzkFwZ…

Mancavano pochi minuti alla mezzanotte quando la prima manganellata si abbatté sulla spalla sinistra di Mark Covell, il giornalista inglese che stava dormendo alla Scuola Diaz assieme ad altri 92 mediattivisti di diverse parti del mondo.
Covell urlò in italiano che era un giornalista, ma in pochi secondi si trovò circondato dagli agenti dei reparti antisommossa che lo tempestarono di colpi dei Tonfa, i manganelli "spaccaossa" inaugurati proprio in occasione del G8 di Genova.
Riuscì a restare in piedi solo per pochi secondi, poi una bastonata sulle ginocchia gli spappolò una rotula e lo fece crollare sul selciato.
Mentre giaceva faccia a terra nel buio, contuso e spaventato, un'orda di 346 Poliziotti stava dando il via a quella che venne presto ribattezzata la "Macelleria Messicana".
Proprio in quel momento un agente gli saltò addosso e gli diede un calcio al petto con tanta violenza da incurvargli tutta la parte sinistra della gabbia toracica, rompendogli una mezza dozzina di costole. Le schegge gli lacerarono la pleura del polmone sinistro.
Mentre i battaglioni punitivi della Polizia iniziavano il massacro della Diaz, alcuni agenti cominciarono a colpire Covell con gli anfibi, passandoselo da uno all'altro, come se fosse un pallone da calcio.
Mentre avveniva ciò Mark Covell, che è alto 1,73 e pesa 50 chili, sentiva gli agenti ridere.
Una nuova scarica di calci gli ruppe la mano sinistra con cui tentava di proteggersi e gli danneggiò in maniera irreversibile la spina dorsale.
Rimase qualche minuto inebetito a terra in una pozza di sangue. Poi due poliziotti tornarono indietro e si fermarono accanto al giornalista inglese ormai semi-incosciente, uno lo colpì alla testa con il manganello e il secondo lo prese a calci sulla bocca, frantumandogli i denti. Mark Covell svenne.
Rimase sospeso tra la vita e la morte, in coma, per 15 lunghissime ore.
Arrivò in sala operatoria in condizioni disperate: trauma cranico con emorragia venosa, mano sinistra e 8 costole fratturate, perforazione del polmone, trauma emitorace, spalla e omero, oltre alla perdita di 16 denti.
Mark Covell è un sopravvissuto. Uno dei tanti sopravvissuti alla mattanza genovese nei giorni del G8, a quella che perfino Amnesty International denunciò come "La più grave violazione dei diritti umani in Europa dopo la 2° Guerra Mondiale".

E anche se la Corte di Strasburgo ha condannato l'Italia per tortura e trattamenti disumani e degradanti, nessuno o quasi ha pagato.
La verità è stata insabbiata e i responsabili della Premiata Macelleria Messicana sono stati tutti coperti trasversalmente dai governi di Destra e di Centrosinistra e addirittura promossi.

Ma noi siamo ancora qui. Oggi come ieri.
Fianco a fianco con Mark Covell e tutti gli altri.
Per sputargli in faccia la verità e ricordargli che la memoria è un ingranaggio collettivo.

With all the attention on LLMs (Large Language Models) and image generators lately, it’s nice to see some of the more niche and unusual applications of machine learning. GARF (Generalizeable 3D reAssembly for Real-world Fractures) is one such project.

GARF may play fast and loose with acronym formation, but it certainly knows how to be picky when it counts. Its whole job is to look at the pieces of a broken object and accurately figure out how to fit the pieces back together, even if there are some missing bits or the edges aren’t clean.
Re-assembling an object from imperfect fragments is a nontrivial undertaking.
Efficiently and accurately figuring out how to re-assemble different pieces into a whole is not a trivial task. One may think it can in theory be brute-forced, but the complexity of such a job rapidly becomes immense. That’s where machine learning methods come in, as researchers created a system that can do exactly that. It addresses the challenge of generalizing from a synthetic data set (in which computer-generated objects are broken and analyzed for training) and successfully applying it to the kinds of highly complex breakage patterns that are seen in real-world objects like bones, recovered archaeological artifacts, and more.

The system is essentially a highly adept 3D puzzle solver, but an entirely different beast from something like this jigsaw puzzle solving pick-and-place robot. Instead of working on flat pieces with clean, predictable edges it handles 3D scanned fragments with complex break patterns even if the edges are imperfect, or there are missing pieces.

GARF is exactly the kind of software framework that is worth keeping in the back of one’s mind just in case it comes in handy some day. The GitHub repository contains the code (although at this moment the custom dataset is not yet uploaded) but there is also a demo available for the curious.

hackaday.com/2025/04/13/softwa…

Cosa c’è nel “decreto Sicurezza” appena entrato in vigore.

Voglio vedere se con un eventuale prossimo governo guidato da chi oggi sta all'opposizione queste norme saranno abolite oppure ormai ci sono e ce le terremo per sempre.

ilpost.it/2025/04/13/decreto-l…

Il gruppo informatico Smishing Triad, attivo in Cina, ha lanciato una campagna su larga scala che ha raggiunto utenti in più di 121 Paesi. Le operazioni si basano sul furto di dati bancari tramite SMS phishing, ma le attività dei criminali non si limitano al settore finanziario. Anche la logistica, il commercio al dettaglio e i servizi postali sono stati colpiti.

Secondo i dati analisi delle infrastrutture, condotto dai ricercatori di Silent Push, ha registrato più di un milione di visite alle pagine utilizzate dal gruppo in soli 20 giorni. Ciò indica volumi che superano notevolmente i 100 mila SMS di phishing al giorno precedentemente segnalati.

Una nuova pietra miliare nell’evoluzione di Smishing Triad è stata l’introduzione del set di strumenti Lighthouse. Non solo semplifica l’avvio di pagine di phishing con un clic, ma supporta anche la sincronizzazione in tempo reale, garantendo il furto immediato dei dati. Il complesso consente di intercettare i codici OTP e PIN e di superare la verifica 3DS, il che lo rende particolarmente pericoloso.

Decine di istituti bancari sono presi di mira, soprattutto in Australia e nella regione Asia-Pacifico. Tra queste figurano la Commonwealth Bank, la National Australia Bank e piattaforme globali come PayPal, Mastercard e HSBC. Ciò indica uno spostamento dell’attenzione dagli attacchi di massa verso obiettivi più “redditizi”.

L’infrastruttura del gruppo è impressionante per dimensioni: sono coinvolti oltre 8.800 indirizzi IP univoci e più di 200 sistemi autonomi. La maggior parte dei siti di phishing sono ospitati dai giganti tecnologici cinesi Tencent e Alibaba, il che evidenzia i loro stretti legami con lo spazio internet cinese.

I metodi utilizzati includono non solo l’invio di SMS di massa, ma anche l’invio di messaggi tramite account Apple iCloud compromessi e numeri di telefono locali. Ciò rende più difficile il tracciamento e riduce anche i sospetti sulle vittime.

Da marzo 2025, Smishing Triad è diventata più attiva e ha introdotto un nuovo kit di phishing che, a quanto pare, è supportato da “oltre 300 operatori in tutto il mondo”. Ciò indica un coordinamento su larga scala e la presenza di una rete globale al servizio delle organizzazioni criminali.

Silent Push continua a monitorare e collaborare con le organizzazioni internazionali per contrastare gli aggressori. Tuttavia, l’elevata frequenza di rotazione dei domini (decine di migliaia di nuovi domini alla settimana) rende difficile il blocco.

Gli esperti sottolineano che operazioni così avanzate e su larga scala richiedono non solo misure tecniche, ma anche lo sviluppo dell’alfabetizzazione digitale tra gli utenti. Senza un coordinamento internazionale e un monitoraggio continuo delle violazioni, la situazione potrebbe peggiorare.

Gli attacchi della Smishing Triad ai settori bancari di tutto il mondo confermano che la criminalità informatica sta diventando sempre più sofisticata e diffusa. È possibile proteggersi solo attraverso una combinazione di tecnologia, consapevolezza e cooperazione globale.

L'articolo Smishing Triad: il gruppo criminale che ha colpito 121 Paesi con attacchi SMS su larga scala proviene da il blog della sicurezza informatica.

Have you ever felt the urge to make your own private binary format for use in Linux? Perhaps you have looked at creating the smallest possible binary when compiling a project, and felt disgusted with how bloated the ELF format is? If you are like [Brian Raiter], then this has led you down many rabbit holes, with the conclusion being that flat binary formats are the way to go if you want sleek, streamlined binaries. These are formats like COM, which many know from MS-DOS, but which was already around in the CP/M days. Here ‘flat’ means that the entire binary is loaded into RAM without any fuss or foreplay.

Although Linux does not (yet) support this binary format, the good news is that you can learn how to write kernel modules by implementing COM support for the Linux kernel. In the article [Brian] takes us down this COM rabbit hole, which involves setting up a kernel module development environment and exploring how to implement a binary file format. This leads us past familiar paths for those who have looked at e.g. how the Linux kernel handles the shebang (#!) and ‘misc’ formats.

On Windows, the kernel identifies the COM file by its extension, after which it gives it 640 kB & an interrupt table to play with. The kernel module does pretty much the same, which still involves a lot of code.

Of course, this particular rabbit hole wasn’t deep enough yet, so the COM format was extended into the .♚ (Unicode U+265A) format, because this is 2025 and we have to use all those Unicode glyphs for something. This format extension allows for amazing things like automatically exiting after finishing execution (like crashing).

At the end of all these efforts we have not only learned how to write kernel modules and add new binary file formats to Linux, we have also learned to embrace the freedom of accepting the richness of the Unicode glyph space, rather than remain confined by ASCII. All of which is perfectly fine.

Top image: Illustration of [Brian Raiter] surveying the fruits of his labor by [Bomberanian]

hackaday.com/2025/04/13/learni…

Un nuovo strumento per i criminali informatici è apparso sul dark web: Xanthorox AI, un sistema che si definisce “il killer di WormGPT e di tutti gli EvilGPT”. Questo sviluppo rappresenta una nuova svolta nell’evoluzione dell’intelligenza artificiale nera, volta ad automatizzare gli attacchi e ad aggirare le difese.

Xanthorox nasce nel primo trimestre del 2025. Da allora, ha iniziato a diffondersi attivamente nei forum del darknet e nei canali chiusi. I suoi creatori la promuovono come una piattaforma completamente modulare per operazioni informatiche offensive, focalizzata su privacy, autonomia e personalizzazione.

A differenza di altre IA simili, Xanthorox non utilizza modifiche di modelli esistenti come GPT o LLaMA. Secondo gli sviluppatori, il sistema è costruito da zero e funziona esclusivamente sui propri server, completamente in locale e senza dipendenza da altri modelli.
Prompt Xanthorox AI di (Fonte SlashNext)
In termini di architettura, Xanthorox combina cinque modelli diversi, ognuno dei quali è ottimizzato per attività specifiche. Lavorando completamente offline e su server controllati, il sistema evita sorveglianza, blocchi e fughe di dati. Tra le caratteristiche dichiarate: modelli linguistici proprietari (senza utilizzare OpenAI, Meta o Anthropic), elaborazione integrata di immagini e voce, raccolta di informazioni da oltre 50 motori di ricerca, supporto offline e completo isolamento dei dati da terze parti.

Da un punto di vista tecnico, tutte queste funzioni sono realistiche. Esistono già soluzioni che consentono di avviare modelli di intelligenza artificiale locali, di utilizzare voce ed immagini e di raccogliere informazioni dai siti senza utilizzare un’API. Anche se Xanthorox non è perfetto come sembra, l’idea in sé è fattibile e strumenti come questo appariranno sicuramente più spesso.

In termini di funzionalità, Xanthorox si posiziona come un assistente universale per gli hacker criminali.

Genera codice, trova vulnerabilità, analizza dati, lavora con voce e immagini. Il modulo centrale, Xanthorox Coder, automatizza la generazione di script, la creazione di malware e lo sfruttamento delle vulnerabilità. Il modulo Vision analizza le immagini e gli screenshot caricati, estraendone i dati e descrivendone il contenuto. Reasoner Advanced simula il pensiero logico umano e aiuta a risolvere problemi che richiedono una presentazione ben ragionata e una logica coerente, anche se le sue soluzioni non sono sempre precise al 100%.

Il sistema supporta anche il controllo vocale, sia in tempo reale che tramite messaggi vocali. Ciò consente di controllare l’IA senza tastiera, il che può risultare comodo in determinate situazioni. L’integrazione con i motori di ricerca consente a Xanthorox di accedere a informazioni aggiornate, senza restrizioni API e censure. Inoltre, l’analizzatore di file integrato può lavorare con i formati .c, .txt, .pdf e altri: estrae, modifica e riconfeziona i contenuti, il che può essere utile quando si lavora con perdite di dati.

Xanthorox non è solo l’ennesimo tentativo di superare i limiti degli attuali servizi di intelligenza artificiale. Si tratta di un passo avanti verso la creazione di sistemi autonomi, resilienti e mirati, che operano al di fuori del controllo e della supervisione delle grandi piattaforme.

Anche se alcune promesse sono esagerate, il concetto in sé ha già iniziato a concretizzarsi, e le conseguenze potrebbero farsi sentire molto prima di quanto molti pensino.

L'articolo Black AI: Nasce Xanthorox AI, la nuova arma degli hacker addestrato per attività criminali proviene da il blog della sicurezza informatica.

Questa settimana Parigi è stata teatro di complessi colloqui diplomatici sulle misure da adottare per contrastare la diffusione incontrollata e l’uso di strumenti di hacking commerciali. Francia e Regno Unito hanno lanciato un’iniziativa congiunta denominata Pall Mall Process, che mira a sviluppare nuove norme che disciplinino il commercio e l’uso di strumenti commerciali per la lotta alla criminalità informatica (CCIC).

Nonostante gli obiettivi ambiziosi, il processo ha finora incontrato delle difficoltà. Molti paesi partecipanti hanno difficoltà ad abbandonare le pratiche consolidate e non tutti credono nell’efficacia delle misure proposte. Tuttavia, nella fase finale, è stata predisposta una bozza di accordo, che viene inviato ai governi, organizzazioni internazionali, comunità scientifica e aziende tecnologiche. Il documento propone una serie di impegni volontari.

Tra le misure proposte:

• regolamentazione dello sviluppo e dell’esportazione di strumenti di hacking;
• creazione di meccanismi di controllo interno per il loro utilizzo;
• implementazione di sistemi di valutazione della vulnerabilità;
• rifiuto di acquistare da aziende ritenute coinvolte in attività illegali;
• introdurre sanzioni nei confronti di coloro che traggono vantaggio dall’uso irresponsabile delle CCIC.

La rilevanza del problema è sottolineata dai casi in cui tali tecnologie sono state utilizzate contro giornalisti, attivisti per i diritti umani, esponenti dell’opposizione e persino funzionari stranieri. Inoltre, la distribuzione incontrollata di CCIC indebolisce l’economia della sicurezza informatica, incoraggiando l’occultamento delle vulnerabilità per un successivo sfruttamento.

Tuttavia, l’approvazione dell’accordo è complicata dal fatto che ai negoziati non partecipano i maggiori paesi esportatori della CCIC, tra cui Israele, India, Austria, Egitto e Macedonia del Nord. L’assenza di Israele è particolarmente evidente, poiché lì hanno sede due delle quattro aziende sanzionate dagli Stati Uniti per aver venduto strumenti di repressione digitale.

Tuttavia, ci sono segnali di progresso. Fonti riferiscono di un coinvolgimento informale di Israele e della NSO Group in corso, sebbene ancora in una fase iniziale e senza che ci si aspetti che il documento venga firmato nella fase attuale.

Il progetto si basa su un Codice di condotta volontario ispirato al Documento di Montreux-Ginevra e al Codice di condotta per le società di sicurezza private. L’obiettivo è quello di creare uno standard etico internazionale per il settore dell’hacking, con particolare attenzione al rispetto del diritto internazionale umanitario e dei diritti umani.

L'articolo Hacking di Stato fuori controllo? Il nuovo accordo internazionale vuole fermarlo proviene da il blog della sicurezza informatica.

We don’t think of computers as something you’d find in the 17th century. But [Levi McClain] found plans for one in a book — books, actually — by [Athanasius Kirker] about music. The arca musarithmica, a machine to allow people with no experience to compose church music, might not fit our usual definition of a computer, but as [Levi] points out in the video below, there are a number of similarities to mechanical computers like slide rules.

Apparently, there are a few of these left in the world, but as you’d expect, they are quite rare. So [Levi] decided to take the plans from the book along with some information available publicly and build his own.

The computer is a box of wooden cards — tablets — with instructions written on them. Honestly, we don’t know enough about music theory to quite get the algorithm. [Kirker] himself had this to say in his book about the device:

Mechanical music-making is nothing more than a particular system invented by us whereby anyone, even the ἀμουσος [unmusical] may, through various applications of compositional instruments compose melodies according to a desired style. We shall briefly relate how this mechanical music-making is done and, lest we waste time with prefatory remarks, we shall begin with the construction of the Musarithmic Ark.

If you want to try it yourself, you won’t need to break out the woodworking tools. You can find a replica on the web, of course. Let us know if you set any Hackaday posts to music.

We know not everyone thinks something mechanical can be a computer, but we disagree. True, some are more obvious than others.

youtube.com/embed/ko3kZr5N61I?…

hackaday.com/2025/04/12/a-17th…

Incomplete JSON (such as from a log that terminates unexpectedly) doesn’t parse cleanly, which means anything that usually prints JSON nicely, won’t. Frustration with this is what led [Simon Willison] to make The Incomplete JSON pretty printer, a single-purpose web tool that pretty-prints JSON regardless of whether it’s complete or not.

Making a tool to solve a particular issue is a fantastic application of software, but in this case it also is a good lead-in to some thoughts [Simon] has to share about vibe coding. The incomplete JSON printer is a perfect example of vibe coding, being the product of [Simon] directing an LLM to iteratively create a tool and not looking at the actual code once.
Sometimes, however the machine decides to code something is fine.
[Simon] shares that the term “vibe coding” was first used in a social media post by [Andrej Karpathy], who we’ve seen shared a “hello world” of GPT-based LLMs as well as how to train one in pure C, both of which are the product of a deep understanding of the subject (and fantastically educational) so he certainly knows how things work.

Anyway, [Andrej] had a very specific idea he was describing with vibe coding: that of engaging with the tool in almost a state of flow for something like a weekend project, just focused on iterating one’s way to what they want without fussing the details. Why? Because doing so is new, engaging, and fun.

Since then, vibe coding as a term seems to get used to refer to any and all AI-assisted coding, a subject on which folks have quite a few thoughts (many of which were eagerly shared on a recent Ask Hackaday on the subject).

Of course human oversight is critical to a solid and reliable development workflow. But not all software is the same. In the case of the Incomplete JSON Pretty Printer, [Simon] really doesn’t care what the code actually looks like. He got it made in a short amount of time, the tool does exactly what he wants, and it’s hard to imagine the stakes being any lower. To [Simon], however the LMM decided to do things is fine, and there’s a place for that.

hackaday.com/2025/04/12/the-in…

The “USB C” cable that comes with the Inaya Portable Rechargeable Lamp. (Credit: The Stock Pot, YouTube)
Recently [Dillan Stock] over at The Stock Pot YouTube channel bought a $17 ‘mushroom’ lamp from his local Kmart that listed ‘USB-C rechargeable’ as one of its features, the only problem being that although this is technically true, there’s a major asterisk. This Inaya-branded lamp namely comes with a USB-C cable with a rather prominent label attached to it that tells you that this lamp requires that specific cable. After trying with a regular USB-C cable, [Dillan] indeed confirmed that the lamp does not charge from a standard USB-C cable. So he did what any reasonable person would do: he bought a second unit and set about to hacking it.

[Dillan] also dug more into what’s so unusual about this cable and the connector inside the lamp. As it turns out, while GND & Vcc are connected as normal, the two data lines (D+, D-) are also connected to Vcc. Presumably on the lamp side this is the expected configuration, while using a regular USB-C cable causes issues. Vice versa, this cable’s configuration may actually be harmful to compliant USB-C devices, though [Dillan] did not try this.

With the second unit in hand, he then started hacking it, with the full plans and schematic available on his website.

The changes include a regular USB-C port for charging, an ESP32 board with integrated battery charger for the 18650 Li-ion cell of the lamp, and an N-channel MOSFET to switch the power to the lamp’s LED. With all of the raw power from the ESP32 available, the two lamps got integrated into the Home Assistant network which enables features such as turning the lamps on when the alarm goes off in the morning. All of this took about $7 in parts and a few hours of work.

Although we can commend [Dillan] on this creative hack rather than returning the item, it’s worrying that apparently there’s now a flood of ‘USB C-powered’ devices out there that come with non-compliant cables that are somehow worse than ‘power-only’ USB cables. It brings back fond memories of hunting down proprietary charging cables, which was the issue that USB power was supposed to fix.

youtube.com/embed/E_6Y1iip3p0?…

hackaday.com/2025/04/12/hackin…

Lots of people swear by large-language model (LLM) AIs for writing code. Lots of people swear at them. Still others may be planning to exploit their peculiarities, according to [Joe Spracklen] and other researchers at USTA. At least, the researchers have found a potential exploit in ‘vibe coding’.

Everyone who has used an LLM knows they have a propensity to “hallucinate”– that is, to go off the rails and create plausible-sounding gibberish. When you’re vibe coding, that gibberish is likely to make it into your program. Normally, that just means errors. If you are working in an environment that uses a package manager, however (like npm in Node.js, or PiPy in Python, CRAN in R-studio) that plausible-sounding nonsense code may end up calling for a fake package.

A clever attacker might be able to determine what sort of false packages the LLM is hallucinating, and inject them as a vector for malicious code. It’s more likely than you think– while CodeLlama was the worst offender, the most accurate model tested (ChatGPT4) still generated these false packages at a rate of over 5%. The researchers were able to come up with a number of mitigation strategies in their full paper, but this is a sobering reminder that an AI cannot take responsibility. Ultimately it is up to us, the programmers, to ensure the integrity and security of our code, and of the libraries we include in it.

We just had a rollicking discussion of vibe coding, which some of you seemed quite taken with. Others agreed that ChatGPT is the worst summer intern ever. Love it or hate it, it’s likely this won’t be the last time we hear of security concerns brought up by this new method of programming.

Special thanks to [Wolfgang Friedrich] for sending this into our tip line.

hackaday.com/2025/04/12/vibe-c…

La recente scomparsa di Andrea Prospero, avvenuta a Perugia dopo l’ingestione di pasticche di Oxycodone (meglio noto come OxyContin), ha acceso i riflettori su un fenomeno preoccupante che si sta espandendo in silenzio tra i giovani: l’abuso di farmaci oppioidi acquistati illegalmente sul web.

Numerosi servizi di Chi l’ha visto? su Rai Tre hanno acceso i riflettori su questo fenomeno, che purtroppo non rappresenta un caso isolato. La vendita e l’acquisto di sostanze stupefacenti, infatti, fanno parte della storia di Internet sin dai tempi di Silk Road, il primo grande mercato Underground online.

Secondo le ricostruzioni, Andrea aveva ottenuto le pillole attraverso canali di vendita attivi su Telegram, dove gruppi organizzati offrivano farmaci contraffatti o rubati, spesso spacciati come sicuri grazie a false ricette mediche.

Nelle nostre analisi, abbiamo identificato diversi mercati underground che permettono l’acquisto di grandi quantità di pasticche di OxyContin senza necessità di prescrizione medica, con il pagamento effettuato tramite criptovalute per garantire anonimato e sicurezza nelle transazioni.

Abbiamo approfondito il fenomeno all’interno dei mercati underground criminali per capire quanto sia diventato facile, oggi (ma anche in passato), per chiunque disponga di un computer e di una conoscenza di base delle criptovalute, acquistare sostanze illegali con pochi click.

I Mercati della droga nelle underground

L’acquisto di droghe su Internet non è un fenomeno recente. Fin dagli albori del cosiddetto “dark web”, le sostanze stupefacenti hanno rappresentato una delle principali merci scambiate attraverso piattaforme clandestine. La storia di questo fenomeno è strettamente legata a quella di Silk Road, il primo grande mercato nero online.

Silk Road nacque nel febbraio del 2011, fondato da Ross Ulbricht, conosciuto con il nickname “Dread Pirate Roberts“. Il sito, accessibile solo attraverso la rete anonima Tor, fu pensato come un vero e proprio “Amazon delle droghe”: un marketplace in cui gli utenti potevano acquistare cannabis, LSD, MDMA, eroina e una vasta gamma di altri stupefacenti, pagando in Bitcoin per garantire l’anonimato.

La piattaforma offriva un sistema di recensioni e feedback sui venditori, creando una parvenza di “fiducia” tra compratori e spacciatori. Gli amministratori di Silk Road fungevano da intermediari per le transazioni, trattenendo una percentuale sulle vendite.

Nonostante i suoi sforzi per restare nascosto, Silk Road venne chiuso nell’ottobre del 2013 dall’FBI, dopo oltre due anni e mezzo di attività. Al momento della sua chiusura, contava più di 13.000 annunci di vendita di droghe.

Oggi, a distanza di oltre un decennio, il commercio di sostanze stupefacenti online è tutt’altro che scomparso. Al contrario, si è evoluto e radicato, con decine di marketplace attivi che operano su modelli simili a quello inaugurato da Silk Road. Acquistare droghe su Internet resta, ancora oggi, uno dei business principali delle underground criminali.

Secondo il World Drug Report 2021 redatto dall’UNODC (United Nations Office on Drugs and Crime), il mercato globale delle droghe online ha registrato un incremento vertiginoso negli ultimi anni. Nel 2020, si stimava che i mercati del dark web generassero circa 315 milioni di dollari. Oggi, le notizie più recenti di Europol parlano di un mercato che si avvicina a 1,2 miliardi di dollari, sebbene questi numeri rimangano ancora provvisori e in fase di definizione.

La nostra analisi

Nonostante il fenomeno sia già noto, abbiamo ritenuto fondamentale verificarne di persona la gravità attuale, esplorando alcuni mercati underground del dark web. Ecco cosa abbiamo constatato:

• L’Oxycodone viene venduto a pacchetti, dove maggiore è la quantità maggiore è lo sconto;
• I venditori promettono spedizioni “sicure e anonime” anche in Italia;
• E’ possibile acquistare in modo anonimo attraverso meccanismi di escrow (attraverso un intermediario);
• Non è necessaria nessuna prescrizione: basta pagare in criptovaluta e attendere la spedizione postale.

La situazione è allarmante: decine di canali underground offrono qualsiasi tipologia di farmaco, sfruttando la fragilità e l’ingenuità di ragazzi ed adulti. Tra i ragazzi, diversi fattori spiegano la crescita dell’uso di Oxycodone tra i giovani:

• Apparenza innocua: viene percepito come “meno pericoloso” rispetto all’eroina o alla cocaina perché è un “farmaco da farmacia”;
• Facilità di reperibilità online: i social come Telegram e i marketplace del dark web abbondano di offerte;
• Costo relativamente basso rispetto ad altre droghe illegali;
• Ignoranza sui rischi reali: molti ragazzi non conoscono la rapidità con cui l’Oxycodone può portare alla dipendenza o a un’overdose.

L’Oxycodone non è un farmaco leggero; è un potente analgesico oppioide utilizzato per il trattamento del dolore grave e cronico. A livello terapeutico, viene prescritto principalmente a pazienti che soffrono di dolore intenso, come quelli con tumori o lesioni gravi, e viene somministrato sotto stretto controllo medico per evitare abusi e dipendenze. Non è indicato per il trattamento del dolore lieve o moderato, e il suo uso deve essere attentamente monitorato per prevenire effetti collaterali gravi, inclusa la dipendenza.
Skeletal formula dell’oxycodone (fonte wikipedia)
L’uso fuori controllo può portare a:

• Depressione respiratoria
• Coma
• Morte per overdose, come purtroppo è accaduto ad Andrea.

E basta una sola dose sbagliata per trasformare una ricerca di “sballo” in una tragedia irreversibile.

La tragica morte di Andrea deve essere un campanello d’allarme per tutti noi. Non possiamo più chiudere gli occhi di fronte a un fenomeno (seppur conosciuto) che cresce silenziosamente, mettendo a rischio la vita di tanti giovani. È fondamentale intervenire in modo deciso su più fronti: prima di tutto, la cosa principale è la consapevolezza del rischio ed è essenziale informare correttamente i ragazzi da parte dei genitori, sensibilizzandoli sui pericoli legati all’acquisto e all’uso di farmaci come l’Oxycodone, spesso reperibili con estrema facilità online.

È altrettanto importante rendere più difficile l’accesso illegale a questi farmaci, intensificando i controlli sui mercati online e aumentando la sicurezza nelle transazioni digitali. Inoltre, bisogna riconoscere i segnali di abuso fin dai primi segni, in modo da poter intervenire tempestivamente. Infine, è necessario promuovere controlli più serrati su social network e nel dark web, dove spesso si celano traffici illeciti più difficili da sradicare.

Parlarne non basta più: è il momento di agire concretamente per proteggere le vite dei nostri giovani e arginare questo pericolo crescente.

I mercati del Dark Web

I mercati nel dark web sono da sempre un punto di riferimento per l’acquisto di sostanze stupefacenti a prezzi decisamente modici, con il pagamento effettuato attraverso criptovalute per garantire l’anonimato delle transazioni. Questi mercati, che operano sotto il radar delle forze dell’ordine, permettono agli acquirenti di accedere facilmente a farmaci come l’Oxycodone e altre sostanze pericolose.
Vendita di pasticche di Oxycodone nel market underground NEXUS
I prezzi possono variare in base alla quantità acquistata: ad esempio, una singola pasticca può costare circa 15 dollari, mentre è possibile acquistare un blocco di 100 pillole per circa 830 euro. La facilità con cui è possibile accedere a questi farmaci, unita all’anonimato garantito dalle criptovalute e dal dark web, rende il fenomeno particolarmente insidioso e pericoloso, specialmente per i giovani che potrebbero cadere in questa rete di traffico illecito.
Dettaglio della vendita di pasticche di Oxycodone nel market underground NEXUS
I mercati nel dark web non solo permettono l’acquisto diretto di sostanze stupefacenti a prezzi contenuti, ma offrono anche opportunità per coloro che desiderano fare affari illeciti rivendendo le droghe a prezzi maggiorati. Acquistando grosse quantità di farmaci come l’Oxycodone, gli utenti possono successivamente rivenderle su piattaforme come Telegram o attraverso altri canali di commercio illecito, ottenendo profitti sostanziosi.
Dettaglio della vendita di pasticche di Oxycodone nel market underground TOR Amazon
Questo meccanismo di acquisto e rivendita alimenta un circolo vizioso di traffico di sostanze, dove chi si inserisce nel sistema può moltiplicare il proprio guadagno rivendendo a prezzi più alti, sfruttando la domanda crescente e l’anonimato garantito dalla rete. Questo tipo di attività rende ancora più difficile il controllo del fenomeno e amplifica i rischi associati al traffico di droghe online.
Dettaglio della vendita di pasticche di Oxycodone nel market underground Anubis Schermata di dettaglio dove vengono riportati i prezzi sulla base delle quantità di Oxycodone acquistato
I mercati underground operano in modo simile ai tradizionali e-commerce, ma con l’obiettivo di facilitare il commercio di beni illeciti, come le sostanze stupefacenti. Come nei normali marketplace online, anche in questi ambienti vengono utilizzati sistemi di feedback che permettono agli acquirenti di lasciare recensioni sui venditori, creando un sistema di fiducia che aiuta a garantire la qualità e l’affidabilità delle transazioni.

Inoltre, molti di questi mercati fanno uso del meccanismo dell’escrow (escussione), un sistema di protezione delle transazioni che consente di “congelare” il pagamento fino a quando l’acquirente non conferma di aver ricevuto correttamente il prodotto. In altre parole, l’escrow agisce come una terza parte neutrale, trattenendo i fondi fino a quando non vengono soddisfatti tutti i termini dell’accordo, riducendo il rischio di frodi sia per gli acquirenti che per i venditori. Questo sistema di garanzia contribuisce a rendere questi mercati più sicuri e attraenti per chiunque sia coinvolto nel traffico illecito online.
Dettaglio della vendita di pasticche di Oxycodone, Oxycotin e Percocet nel market underground Anubis

I mercati di Telegram

Su Telegram, il dark web assume la forma di un vero e proprio Far West, dove il commercio illecito di sostanze stupefacenti. Come più volte documentato dalla trasmissione Chi l’ha visto?esistono numerosi canali dedicati esclusivamente alla vendita di questo potente farmaco.

Inoltre, moltissimi piccoli rivenditori pubblicano regolarmente annunci con immagini dei farmaci in vendita, accompagnati da richieste di contatto per concludere la transazione. Questa modalità di vendita diretta e decentralizzata rende ancora più difficile il controllo di queste attività illecite, sfruttando la sicurezza e l’anonimato garantiti dalla piattaforma.

Clear Web e la direzione verso le underground

Anche nel clear web, cioè quella parte visibile di Internet, esistono canali sui social network che fanno riferimento a mercati underground, come quelli su Telegram, dove è possibile richiedere informazioni per l’acquisto di droghe.

Questi canali fungono da ponte tra la superficie di Internet e i circuiti illeciti underground del dark web, alla portata di 5 click, che permettono di entrare in contatto con rivenditori di sostanze stupefacenti.

Ciò significa che anche attraverso i social network più comuni, come Instagram, Facebook o Twitter, è possibile indirizzare le persone verso canali underground, facilitando così l’accesso al traffico illecito e ai mercati di droga nascosti.

Questo meccanismo rende ancora più insidiosa la possibilità di entrare in contatto con queste reti, sfruttando la diffusa presenza sui social per mascherare l’illegalità.

Conclusioni

Il caso della tragica morte di Andrea Prospero ha riportato sotto i riflettori una realtà che da anni cresce silenziosamente: l’accesso illegale a farmaci potenti e a basso costo come l’Oxycodone è più semplice di quanto si pensi. Il fenomeno non è nuovo: dal tempo di Silk Road, i mercati underground hanno offerto un canale diretto per l’acquisto di sostanze stupefacenti, e ancora oggi, il traffico di droghe online rappresenta uno dei principali business illeciti a livello globale.

La situazione è aggravata dalla diffusione capillare su Telegram e, indirettamente, anche dal clear web, dove canali e profili social fungono da vetrina per indirizzare gli utenti verso i circuiti sotterranei. I mercati underground funzionano ormai come veri e propri e-commerce illegali, con sistemi di feedback, pagamenti in criptovalute e l’uso dell’escrow per garantire transazioni “sicure” agli acquirenti.

È evidente che l’Oxycodone, un farmaco estremamente potente destinato a casi clinici gravi come pazienti oncologici o persone con dolori cronici severi, sia ormai divenuto merce di consumo tra i più giovani, attratti da un’illusoria facilità d’accesso e dall’idea di una droga “sicura” perché di origine farmaceutica.

L’accesso a queste sostanze sta alimentando un mercato sommerso che non solo mette a rischio la salute pubblica, ma contribuisce anche al sostentamento di circuiti criminali sempre più organizzati e difficili da tracciare.

Non possiamo restare in silenzio. È urgente:

• Informare ragazzi e famiglie sui pericoli reali.
• Rafforzare i controlli sui social network e sulle piattaforme di messaggistica.
• Promuovere attività investigative mirate al tracciamento di questi canali.
• Educare all’uso consapevole di Internet, evidenziando i rischi nascosti anche nei luoghi apparentemente innocui.

La morte di Andrea non deve essere solo una notizia di cronaca: deve diventare un punto di svolta per una presa di coscienza collettiva, soprattutto verso i genitori dei più giovani.

Parlarne non basta più: è il momento di agire.

L'articolo La Tragedia Di Andrea Prospero E Il Lato Oscuro Delle Droghe Online: Un Allarme Da Non Ignorare proviene da il blog della sicurezza informatica.

It started when [Mitxela] was faced with about a hundred incorrectly-placed 0603 parts. Given that he already owned two TS101 soldering irons, a 3D printer, and knows how to use FreeCAD (he had just finished designing a custom TS101 holder) it didn’t take long to create cost-effective DIY soldering tweezers.
Two screws allow adjusting the irons to ensure the tips line up perfectly.
The result works great! The TS101 irons are a friction-fit and the hinge (designed using the that-looks-about-right method) worked out just fine on the first try. Considering two TS101 irons are still cheaper than any soldering tweezer he could find, and one can simply undock the TS101s as needed, we call this a solid win.

One feature we really like is being able to precisely adjust the depth of each iron relative to each other, so that the tips can be made to line up perfectly. A small screw and nut at the bottom end of each holder takes care of that. It’s a small but very thoughtful design feature.

Want to give it a try? The FreeCAD design file (and .stl model) is available from [Mitxela]’s project page. Just head to the bottom to find the links.

We’ve seen DIY soldering tweezers using USB soldering irons from eBay but the TS101 has a form factor that seems like a particularly good fit.

hackaday.com/2025/04/12/diy-so…

!Poliverso_forum_di_supporto

Vedo che in Raccoon, nel menù a panino in alto a sinistra, ci sono dei canali che mi sarebbero utili per espandere le mie conoscenze nel Fediverso, "for you" e "discover", il problema è che sono entrambi vuoti, come mai?

Ho visto che c'è un canale "English" che immagino raccolga tutti i post del Fediverso in inglese, come posso crearne uno simile per i post in italiano?

Da PC esiste la possibilità di vedere una timeline contenente solo i post pubblicati nell'istanza a cui sei iscritto, da Raccoon invece non la vedo. Non c'è?

Avrei voluto che questo post comparisse nel forum "Poliverso forum di supporto" ma dubito di esserci riuscito. Come si fa a scrivere nel forum da Raccoon?

#raccoon
#Poliverso
#supporto

Grazie.