The C64 Mini is a beautiful and functional replica of the most popular computer ever made, except at 50% size and without a working keyboard. For maximum nostalgia, it was modeled after the brown breadbox C64 case which so characterized the model. However, [10p6] wanted to build a tiny C64C instead, so set about making a conversion happen.

The build is primarily about the case design. [10p6] created a nice 50% scale duplicate of the C64C, with an eye to making it work with the internals of the popular C64 Mini. The case was paired with a custom PETSCII keyboard PCB and keycaps designed by [Bleugh]. This was a key element, since it wouldn’t really feel like a functional C64C without a functional keyboard. The build also scored a bonus USB hub for more flexibility. For the best possible finish, the case, power button, and keycaps were all printed using a resin printer, which provides a more “production-like” result than FDM printers are capable of.

It’s funny how retro computers remain popular to this day, particularly amongst the hacker set. In contrast, we don’t see a whole lot of people trying to replicate Pentium II machines from the mid-1990s. If you do happen to have a crack at it, though, the tipsline is always open. Video after the break.

youtube.com/embed/CwKFFWvBH-g?…

hackaday.com/2025/04/14/conver…

The best kind of Hackaday posts are the ones where there was some insurmountable problem with an elegant solution devised through deep analysis of the problem and creativity. This is not one of those posts. I’m sure you are familiar with bit rot. You know, something works for a long time and then, for no apparent reason, stops working. Well, that has been biting me, and lacking the time for the creative, elegant solution, I decided to attack it with a virtual chainsaw.

It all started with a 2022 Linux Fu about using autokey.

The Problem

I use autokey to give me emacs-style keystrokes in Web browsers and certain other programs. It intercepts keystrokes and translates them into other keystrokes. The problem is, the current Linux community hates autokey. Well, that’s not strictly true. They just love Wayland more. One reason I won’t switch from X11 is that I haven’t found a way to do something like I do with autokey. But since most of the powers-that-be have decided that X11 is bad and Wayland is good, X11 development is starting to show cracks.

In particular, autokey isn’t in the normal repositories for my distro anymore (KDE Neon). Of course, I’ve installed the latest version myself. I’m perfectly capable of doing that or even building from source. But lately, I’ve noticed my computer hangs, especially after sleeping for a long time. Also, after a long time, I notice that autokey just quits working. It is running but not working and I have to restart it. The memory consumption seems high when this happens.

You know how it is. Your system has quirks; you just live with them for a while. But eventually those paper cuts add up. I finally decided I needed to tackle the issue. But I don’t really have time to go debug autokey, especially when it takes hours for the problem to manifest.

The Chainsaw

I’ll say it upfront: Finding the memory leak would be the right thing to do. Build with debug symbols. Run the code and probe it when the problem comes up. Try to figure out what combination of X11, evdev, and whatever other hocus pocus it uses is causing this glitch.

But who’s got time for that? I decided that instead of launching autokey directly, I’d launch a wrapper script. I already had autokey removed from the KDE session so that I don’t try to start it myself and then get the system restaring it also. But now I run the wrapper instead of autokey.

So what does the wrapper do? It watches the memory consumption of autokey. Sure enough, it goes up just a little bit all the time. When the script sees it go over a threshold it kills it and restarts it. It also restarts if autokey dies, but I rarely see that.

What’s Memory Mean?

The problem is, how do you determine how much memory a process is using? Is it the amount of physical pages it has? The virtual space? What about shared libraries? In this case, I don’t really care as long as I have a number that is rising all the time that I can watch.

The /proc file system has a directory for each PID and there’s a ton of info in there. One of them is an accounting of memory. If you look at /proc/$PID/smaps for some program you’ll see something like this:
00400000-00420000 r--p 00000000 fd:0e 238814592 /usr/bin/python3.12
Size: 128 kB
KernelPageSize: 4 kB
MMUPageSize: 4 kB
Rss: 128 kB
Pss: 25 kB
Pss_Dirty: 0 kB
Shared_Clean: 128 kB
Shared_Dirty: 0 kB
Private_Clean: 0 kB
Private_Dirty: 0 kB
Referenced: 128 kB
Anonymous: 0 kB
KSM: 0 kB
LazyFree: 0 kB
AnonHugePages: 0 kB
ShmemPmdMapped: 0 kB
FilePmdMapped: 0 kB
Shared_Hugetlb: 0 kB
Private_Hugetlb: 0 kB
Swap: 0 kB
SwapPss: 0 kB
Locked: 0 kB
THPeligible: 0
VmFlags: rd mr mw me sd
00420000-00703000 r-xp 00020000 fd:0e 238814592 /usr/bin/python3.12
Size: 2956 kB
KernelPageSize: 4 kB
MMUPageSize: 4 kB
Rss: 2944 kB
Pss: 595 kB
Pss_Dirty: 0 kB
Shared_Clean: 2944 kB
Shared_Dirty: 0 kB
Private_Clean: 0 kB
Private_Dirty: 0 kB
. . .

Note that there is a section for each executable and shared object along with lots of information. You can get all the PSS (proportional set size) numbers for each module added together like this (among other ways):

cat /proc/$PID/smaps | grep -i pss | awk '{Total+=$2} END { print Total}'

Building the Chainsaw

So armed with that code, it is pretty easy to just run the program, see if it is eating up too much memory, and restart it if it is. I also threw in some optional debugging code.
#!/bin/bash
#- Run autokey, kill it if it gets too big
#- what's too big? $MLIMIT
MLIMIT=500000
#- how often to check (seconds)
POLL=10

#- Print debug info if you want
function pdebug {
#- comment out if you don't want debugging. Leave in if you do
#- echo $1 $2 $3 $4
}

while true # do forever
do
PID=$(pgrep autokey-qt) # find autokey
pdebug "PID",$PID
if [ ! -z "$PID" ] # if it is there
then
# get the memory size
PSS=$(cat /proc/$PID/smaps | grep -i pss | awk '{Total+=$2} END { print Total}')
pdebug "PSS", $PSS
echo $PSS >>/tmp/autokey-current.log
# too big?
if [ "$PSS" -gt "$MLIMIT" ]
then
pdebug "Kill"
echo Killed >>/tmp/autokey-current.log
# save old log before we start another
cp /tmp/autokey-current.log /tmp/autokey-$PID.log
kill $PID
PID=
sleep 2
fi
fi
if [ -z $PID ]
then
# if died, relaunch
pdebug "Launch"
autokey-qt & 2>&1 >/tmp/autokey-current.log
fi
pdebug "Sleep"
sleep $POLL
done

In practice, you’ll probably want to remove the cp command that saves the old log, but while troubleshooting, it is good to see how often the process is killed. Running this once with a big number gave me an idea that PSS was about 140,000 but rising every 10 seconds. So when it gets to 500,000, it is done. That seems to work well. Obviously, you’d adjust the numbers for whatever you are doing.

Bad Chainsaw

There are lots of ways this could have been done. A systemd timer, for example. Maybe even a cgroup. But this works, and took just a few minutes. Sure, a chainsaw is a lot to just cut a 2×4, but then again, it will go through it like a hot knife through butter.

I did consider just killing autokey periodically and restarting it. The problem is I work odd hours sometimes, and that means I’d have to do something like tie it to the screensaver. But I agree there are dozens of ways to do this, including to quit using autokey. What would your solution be? Let us know in the comments. Have you ever resorted to a trick this dirty?

hackaday.com/2025/04/14/linux-…

I ricercatori della PCAutomotive hanno evidenziato diverse vulnerabilità nel veicolo elettrico Nissan Leaf. Gli esperti hanno dimostrato che i bug potrebbero essere utilizzati per l’hacking a distanza delle auto, la sorveglianza e l’intercettazione completa di varie funzioni.

PCAutomotive è specializzata in test di penetrazione e analisi delle minacce per il settore automobilistico e finanziario. La scorsa settimana, alla conferenza Black Hat Asia 2025, gli esperti hanno parlato dettagliatamente dell’attacco hacker alla Nissan Leaf.

L’oggetto dello studio era il veicolo elettrico Nissan Leaf di seconda generazione, lanciato nel 2020. Le vulnerabilità riscontrate al suo interno hanno consentito l’utilizzo delle funzioni Bluetooth del sistema di infotainment dell’auto per penetrare nella rete interna.

Gli esperti sostengono che queste problematiche hanno consentito di aumentare i privilegi e di stabilire un canale di comunicazione con il server di controllo tramite comunicazioni cellulari, garantendo un accesso nascosto e costante al veicolo elettrico direttamente tramite Internet.

L’aggressore potrebbe sfruttare le vulnerabilità scoperte per spiare il proprietario di una Nissan Leaf, monitorando la posizione dell’auto, catturando screenshot del sistema di infotainment e persino registrando le conversazioni delle persone all’interno dell’auto.

youtube.com/embed/56VreoKtStw?…

Inoltre, i problemi consentivano il controllo a distanza di varie funzioni dell’auto, tra cui l’apertura delle portiere, dei tergicristalli, del clacson, degli specchietti, dei finestrini, dei fari e perfino del volante, anche durante la guida.

Alle vulnerabilità sono stati assegnati otto identificatori CVE: da CVE-2025-32056 a CVE-2025-32063.

I ricercatori hanno affermato che il processo di divulgazione delle informazioni sui bug è iniziato già nell’agosto 2023, ma gli specialisti Nissan hanno confermato l’esistenza dei problemi solo nel gennaio 2024 e l’assegnazione degli identificatori CVE ha richiesto circa un altro anno.

Oltre al loro rapporto, gli esperti hanno pubblicato un video in cui hanno chiaramente dimostrato come hanno utilizzato i loro exploit per hackerare da remoto una Nissan Leaf.

I rappresentanti della Nissan hanno dichiarato ai media che l’azienda non può divulgare dettagli sulle vulnerabilità e sulle misure di protezione adottate per motivi di sicurezza. Allo stesso tempo, l’azienda ha sottolineato che continuerà a sviluppare e implementare tecnologie per combattere gli attacchi informatici “per il bene della sicurezza e della tranquillità dei clienti”.

L'articolo Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025 proviene da il blog della sicurezza informatica.

The ESP32 series of microprocessors with their cheap high-power cores and built-in wireless networking have brought us a wide variety of impressive projects over the years. We’re not sure we’ve quite seen the like of [Jonathan R]’s video walkie talkie before though, a pair of units which as you might guess, deliver two-way video and audio communications.

The trick involves not one but two ESP32s: an ESP32-S3 based camera module, and a more traditional Tensilica ESP32 in a screen module. It’s an opportunity for an interesting comparison, as one device uses the Cheap Yellow Display board, and the other uses an Elecrow equivalent. The audio uses ESP-NOW, while the video uses WiFi, and since the on-board audio amplifiers aren’t great, there’s a small amp module.

The video below has a comprehensive run-down including the rationale behind the design choices, as well as a demonstration. There’s a small lag, but nothing too unacceptable for what is after all an extremely cheap device. Perhaps after all this time, the video phone has finally arrived!

youtube.com/embed/rfnsuzQIYbs?…

hackaday.com/2025/04/14/a-chea…

An occasional series of mine on these pages has been Daily Drivers, in which I try out operating systems from the point of view of using them for my everyday Hackaday work. It has mostly featured esoteric or lesser-used systems, some of which have been unexpected gems and others have been not quite ready for the big time.

Today I’m testing another system, but it’s not quite the same as the previous ones. Instead I’m looking at a piece of hardware, and I’m looking at it for use in my computing projects rather than as my desktop OS. You’ll all be familiar with it: the original Raspberry Pi appeared at the end of February 2012, though it would be May of that year before all but a lucky few received one. Since then it has become a global phenomenon and spawned a host of ever-faster successors, but what of that original board from 2012 here in 2025? If you have a working piece of hardware it makes sense to use it, so how does the original stack up? I have a project that needs a Linux machine, so I’m dusting off a Model B and going down memory lane.

Rediscovering An Old Flame

My first Pi from 2012. The heatsinks are my addition.
It’s fair to say that Raspberry Pi have never had the fastest board on the block, or the highest specification. At any point there’s always some board or other touted as a Pi-killer because it claims to do more, but somehow they never make much impact. The reason for this is simple; alongside your Pi you are also buying the ability to run Raspberry Pi OS, and their achievement in creating a solid and well-supported operating system that still runs on their earliest boards is something their competitors can’t touch. So when I pulled out my Model B I was able to go to the Raspberry Pi downloads page and snag a Debian Bookworm image for its 32-bit processor. I went for the “lite” version; while an early Pi will run a desktop and could even be my desktop daily driver, it would be so painfully slow as to be frustrating.
This is what my word trend analysis tool can do. Everyone was talking about Brexit in the UK in 2016.
My purpose for using the Pi is to run a language analysis package. Aside from fiddling with old cameras and writing about tech, I have a long history in computational language processing, and I have recently returned to my news trend analysis code and made it open-source. It’s a project whose roots go back nearly two decades, so there’s been an element of working out what my younger self was thinking. It builds and processes a corpus of news data over time from RSS feeds, and presents a web-based analysis client. 2000s-era me wrote it in PHP (don’t judge!) and I evolved a corpus structure using a huge tree of small JSON files for fast access. An earlier version of this package ran on my first Pi for many years, sitting next to my router with a USB hard disk.

Firing up an original Pi in 2025 is easy enough, as with any Pi it’s simply a case of writing the image to an SD card, hooking up the Pi to screen and peripherals, and booting it. Raspberry Pi OS is as straightforward to set up as always, and after rebooting and logging in, there I was with a shell.

Remembering, Computers Weren’t Always This Quick

Yes. it’s slow. But it’s got a shell. macrophile, CC BY 2.0.
My main machine is a fairly recent high-end Thinkpad laptop with an Intel Core i7, 32 GB of memory, and the fastest SSD I could afford, equipped with a hefty cache. It’s a supercomputer by any measure from the past, so I have become used to things I do in the shell being blisteringly quick. Sitting at the Pi, it’s evident that I’ll need to recalibrate my expectations, as there’s no way it can match the Thinkpad. As i waited – rather a long time – for apt to upgrade the packages, I had time to reflect. Back in the day when I set up Linux on my 486 or my Pentium machine, I was used to waiting like this. I remember apt upgrade being a go away and have a coffee thing, and I also remember thinking that Pentium was pretty quick, which it was for its day. But stripped of unnecessary services and GUI cruft, I was still getting all the power of the Pi in my terminal. It wasn’t bad, simply visibly slower than the Thinkpad, which to be fair, also applies to all the other computers I own.

So my little Pi 1 model B now sits again hooked up to my router and with a hefty USB drive, again waking up every couple of hours and number-crunching the world’s news. I’ve got used to its relative sloth, and to working again with nano and screen to get things done on it. It’s a useful little computer for the task I have for it, and it can run all day consuming only a couple of watts. As long as the Raspberry Pi people still make the Pi Zero, and I hope for a few years after they stop, it will continue to have OS support, and thus its future as my language processing machine looks assured.

The point of this piece has been to reflect on why we shouldn’t let our older hardware collect dust if it’s still useful. Of course Raspberry Pi want to sell us a new Pi 5, and that board is an amazing machine. But if your task doesn’t need all that power and you still have the earlier model lying around, don’t forget that it’s still a capable little Linux board that you probably paid quite a lot less for. You can’t argue with that.

hackaday.com/2025/04/14/jennys…

Sono stati scoperti aggiornamenti importanti nella piattaforma di phishing Tycoon2FA, nota per la sua capacità di aggirare l’autenticazione a due fattori in Microsoft 365 e Gmail.

Gli sviluppatori di questo strumento dannoso, che opera secondo il modello “phishing as a service” (PhaaS), hanno migliorato i meccanismi per mascherare ed eludere i sistemi di sicurezza.

L’esistenza di Tycoon2FA è stata rivelata per la prima volta nell’ottobre 2023 dagli esperti Aziende Sekoia. Da allora, la piattaforma si è evoluta notevolmente, diventando più sofisticata ed efficiente. Ora gli analisti di Trustwave hanno delineato diversi miglioramenti importanti che rendono molto più difficile per i sistemi di sicurezza degli endpoint rilevare attività dannose.

Una delle innovazioni principali è l’uso di caratteri Unicode invisibili per nascondere i dati binari nel codice JavaScript. La tecnica, descritta per la prima volta dai ricercatori di Juniper Threat Labs a febbraio, consente al codice dannoso di decifrare con successo ed essere eseguito all’avvio, senza essere rilevabile né dall’analisi automatizzata né dalla revisione umana.

I creatori della piattaforma hanno anche un abbandonato al servizio Turnstile di Cloudflare, sostituendolo con il proprio CAPTCHA basato su HTML5 canvas con elementi generati casualmente.

Secondo gli analisti, lo scopo del trucco è impedire ai sistemi di reputazione del dominio di identificare siti dannosi e offrire agli aggressori più opzioni per perfezionare il contenuto delle pagine di phishing.

Il terzo importante aggiornamento è l’introduzione di meccanismi anti-debug JavaScript. La piattaforma ha imparato a riconoscere strumenti di automazione del browser come PhantomJS e Burp Suite, bloccando le azioni correlate all’analisi di codice dannoso. Se viene rilevata un’attività sospetta o il CAPTCHA non viene completato correttamente (il che potrebbe indicare l’intervento di bot di sicurezza), l’utente viene automaticamente reindirizzato a una pagina esca o a un sito legittimo, come rakuten.com.

Trustwave sottolinea :Sebbene questi metodi di mascheramento non siano nuovi presi singolarmente, la loro combinazione rende molto più difficile rilevare e analizzare l’infrastruttura di phishing. Pertanto, bloccare e prevenire gli attacchi diventa un compito arduo.

Contemporaneamente, gli specialisti dell’azienda hanno registrato un aumento senza precedenti degli attacchi di phishing tramite file SVG. Questa tattica è stata adottata da diverse piattaforme di phishing: Tycoon2FA, Mamba2FA e Sneaky2FA. Tra aprile 2024 e marzo 2025, il numero di tali incidenti è aumentato di un incredibile 1.800%.

Gli aggressori mascherano i file SVG come messaggi vocali, loghi o icone di documenti cloud. La caratteristica unica del formato SVG (Scalable Vector Graphics) è che consente di incorporare codice JavaScript che viene eseguito automaticamente quando l’immagine viene aperta in un browser. Per evitare di essere scoperto, il codice dannoso viene crittografato utilizzando più metodi contemporaneamente: codifica base64, algoritmo ROT13, crittografia XOR e viene anche mascherato introducendo istruzioni inutili.

Lo scopo principale di questo codice è reindirizzare i destinatari dei messaggi a pagine di accesso false di Microsoft 365 per rubare le credenziali. A titolo di esempio, i ricercatori citano un’e-mail di phishing contenente una falsa notifica di Microsoft Teams relativa a un messaggio vocale. Quando si apre il file SVG allegato, camuffato da registrazione audio, nel browser viene eseguito il codice JavaScript, che reindirizza la vittima a una falsa pagina di accesso a Office 365.

A causa della crescente popolarità delle piattaforme di phishing e degli attacchi basati su SVG, si invitano gli utenti a prestare particolare attenzione quando verificano l’autenticità dei mittenti delle e-mail. Alcune delle misure di sicurezza più efficaci includono la configurazione di gateway di posta elettronica per bloccare o segnalare allegati SVG sospetti e l’utilizzo di metodi di autenticazione multifattoriale resistenti al phishing, come i dispositivi FIDO-2.

L'articolo Password, autenticazione, CAPTCHA: è tutto inutile! Arriva Tycoon2FA e porta il PaaS a l’ultimo livello proviene da il blog della sicurezza informatica.

Autore: Andrea Nicelli, Head of Italy and Spain at Resilience

Le infrastrutture critiche italiane sono altamente esposte alle minacce informatiche, posizionandosi al quarto posto a livello mondiale e al primo posto in Europa per numero di attacchi informatici subiti nel 2024.

Andrea Nicelli, Head of Italy and Spain at Resilience

Nonostante sia un polo cruciale per l’innovazione digitale, le aziende del Paese si trovano ad affrontare significative minacce di criminalità informatica, in particolare nei settori sanitario, governativo e universitario. Questi settori sono privi di infrastrutture di sicurezza informatica di base e l’adozione di assicurazioni informatiche è minima. Il ransomware è una delle principali minacce per le organizzazioni italiane, con violazioni di dati in istituzioni come l’Università di Siena, il Bologna FC e SynLab Italia lo scorso anno. Secondo il rapporto sui rischi di Resilience, il ransomware è rimasto la principale causa di perdite per le aziende nel 2024 e si prevede che costerà alle aziende a livello globale 52 miliardi di euro quest’anno. In questo contesto, i decisori devono rivalutare proattivamente la gestione del rischio informatico con l’aumento degli attacchi e iCISO dovrebbero rafforzare le difese e allineare la sicurezza informatica con obiettivi aziendali più ampi, mentre le organizzazioni dovrebbero rimanere al passo con l’evoluzione delle normative UE per garantire conformità e resilienza.

Il ransomware è la principale minaccia informatica

Il ransomware è diventato la minaccia informatica più diffusa e finanziariamente devastante, sfruttando le vulnerabilità comuni all’interno delle organizzazioni.

I criminali informatici prendono di mira organizzazioni di tutte le dimensioni, utilizzando tecniche di ingegneria sociale, tra cui il phishing, per indurre i dipendenti a cliccare su link dannosi. Inoltre, le debolezze nella sicurezza dei fornitori terzi possono anche fornire una backdoor nelle reti e aumentare il rischio di un attacco. Gli attacchi ransomware spesso comportano il furto di dati sensibili, in genere tramite infostealer, ovvero software dannosi progettati per catturare credenziali di accesso, registri finanziari e informazioni personali.

Questi dati vengono poi venduti sul dark web, che è diventato un mercato popolare per le informazioni rubate, alimentando ulteriori attività criminali. In alcuni casi, i dati rubati vengono utilizzati per facilitare ulteriori attacchi, con gli hacker che richiedono un pagamento per la restituzione sia dei dati crittografati che delle informazioni rubate.

Questi attacchi sono la principale causa di perdite aziendali, con le organizzazioni che devono affrontare sia il pagamento del riscatto che significativi costi di recupero. I tempi di inattività del sistema, la perdita di produttività, le spese di recupero e il danno reputazionale spesso portano a perdite finanziarie persino maggiori del riscatto stesso. Il costo medio di una violazione dei dati in Italia lo scorso anno è stato il più alto mai registrato, attestandosi a 4,28 milioni di euro.

Difendersi dal ransomware sta diventando sempre più difficile. Le tattiche dei criminali informatici si stanno evolvendo, come l’utilizzo di piattaforme come Tor e Telegram per eludere il rilevamento e l’utilizzo dell’intelligenza artificiale per automatizzare gli attacchi, sfruttando al contempo vulnerabilità sia umane che di sistema.

Vulnerabilità nel settore sanitario

Il settore sanitario è uno dei più vulnerabili agli attacchi ransomware e, secondo gli ultimi dati dell’OMS Europa, è il settore critico più preso di mira nell’UE. Quasi la metà degli incidenti informatici subiti dal settore sanitario dell’UE nel 2024 è stata rappresentata da attacchi ransomware, secondo il Threat Landscape Report dell’ENISA, con la violazione di SynLab Italia che evidenzia le sfide che il settore sanitario italiano si trova ad affrontare.

Gli operatori sanitari si affidano sempre più a strumenti basati su cloud, piattaforme esternalizzate e dispositivi medici connessi, ma molti non riescono a gestire i rischi associati, rimanendo esposti. Questi attacchi possono avere conseguenze potenzialmente letali. Gli ospedali potrebbero dover affrontare interruzioni delle cure urgenti, ritardi nelle diagnosi e una potenziale messa a repentaglio della sicurezza dei pazienti.

L’integrazione di servizi cloud, dispositivi in ​​rete e provider esterni nel settore aumenta la sua superficie di attacco, consentendo ai criminali informatici molteplici punti di ingresso. Gli attacchi possono disabilitare i sistemi IT critici, rubare i dati dei pazienti e limitare l’accesso a farmaci e attrezzature vitali, amplificando il danno. Ciò che i decisori in ambito sanitario devono comprendere è che un attacco ransomware non è più una questione di “se”, ma di “quando”. Le organizzazioni dovrebbero rafforzare le misure di sicurezza informatica, implementare solide strategie di protezione dei dati e garantire l’esistenza di piani di continuità operativa per mitigare i rischi legati al ransomware.

Cosa possono fare le organizzazioni e i CISO?

Con la crescente complessità delle minacce informatiche, le organizzazioni devono adottare un approccio proattivo e resiliente alla sicurezza informatica. I CISO e i responsabili IT devono andare oltre le tradizionali misure difensive e adottare la resilienza e la gestione del rischio informatico come principi fondamentali. Con gli attacchi informatici ormai inevitabili, le organizzazioni devono concentrarsi non solo sulla difesa, ma anche sulla garanzia di un rapido ripristino e di interruzioni operative minime.

Il ruolo del CISO si è evoluto in risposta a questo cambiamento. I CISO devono essere attori chiave nelle discussioni dei consigli di amministrazione. La loro competenza è essenziale per orientare le decisioni di investimento, la selezione dei fornitori e la gestione del rischio organizzativo complessivo. Integrando la sicurezza informatica nella strategia aziendale, il CISO garantisce che non si tratti solo di una questione tecnica.

I CISO possono anche quantificare il rischio, traducendo le vulnerabilità informatiche in termini finanziari, aiutando i decisori finanziari a effettuare investimenti consapevoli e ottimizzare i controlli informatici nell’ambito di una più ampia strategia di gestione del rischio. Organizzazioni come Resilience svolgono un ruolo chiave nel guidare questa trasformazione offrendo strumenti che consentono alle aziende di quantificare i rischi informatici, monitorare le vulnerabilità nei sistemi e adottare misure preventive prima che si verifichi una violazione.

In caso di violazione, l‘assicurazione informatica e i sistemi di backup possono mitigare l’interruzione operativa e garantire la continuità operativa delle organizzazioni. Adottando tali strumenti e approcci, le organizzazioni possono rafforzare la propria sicurezza informatica a lungo termine e proteggersi dalla minaccia del ransomware.

Quadri normativi UE in evoluzione

In risposta alla crescente minaccia del ransomware, la Commissione Europea ha introdotto quadri normativi chiave volti a rafforzare la resilienza informatica, in particolare in settori critici come l’assistenza sanitaria. Il Piano d’azione dell’UE per la sicurezza informatica in ambito sanitario, adottato all’inizio del 2024, riconosce la vulnerabilità del settore al ransomware e include misure come un Centro di supporto per la sicurezza informatica, la segnalazione obbligatoria dei pagamenti per il ransomware e un monitoraggio rafforzato delle vulnerabilità dei dispositivi medici.

Istituisce inoltre una rete europea di CISO del settore sanitario per condividere le migliori pratiche e promuovere la collaborazione all’interno del settore. Sebbene questi quadri rappresentino un progresso significativo, le organizzazioni devono impegnarsi per integrare proattivamente i cambiamenti nelle loro operazioni quotidiane. Molti settori, in particolare l’assistenza sanitaria, dispongono ancora di pratiche di sicurezza informatica frammentate, che li espongono agli attacchi ransomware. Senza adeguati investimenti in misure preventive e capacità di risposta agli incidenti, le normative da sole non possono fornire una protezione completa.

La crescente vulnerabilità dell’Italia al ransomware richiede un’azione immediata. Sebbene le normative offrano indicazioni, i veri progressi derivano dall’implementazione attiva, e i CISO dovrebbero guidare gli sforzi per la resilienza informatica e implementare solide strategie di gestione del rischio. Aziende come Resilience forniscono gli strumenti per quantificare i rischi, rafforzare le difese e garantire un rapido ripristino. È il momento di investire nella resilienza e proteggersi dalle crescenti minacce informatiche.

Scopri le principali tendenze delle minacce informatiche nel Ransomware Report 2025 di Red Hot Cyber ​​DarkLab.

L'articolo Perché il settore sanitario europeo deve rafforzare la resilienza per combattere la minaccia del ransomware proviene da il blog della sicurezza informatica.

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and with every day bringing more uncertainty in the world around us, I just can't get this clip from South Park out of my head. Good luck with the week ahead.

Here's my analysis via Tech Policy Press on why Europe's digital rules should not be part of any upcoming trade negotiations between the White House and European Commission.

— A major US antitrust trial against Meta starts on April 14. Its underlying premise that the tech giants holds an illegal monopoly over social media is wrong.

— Brussels is bursting with rumors about "streamlining" digital regulation. What that actually means is anything but clear.

— Annual global corporate investment in artificial intelligence hit $252 billion last year, a 13-fold increase over the last decade.

Let's get started:

digitalpolitics.co/newsletter0…

Spectroscopy seems simple: split a beam of light into its constituent wavelengths with a prism or diffraction grating, and measure the intensity of each wavelength. The devil is in the details, though, and what looks simple is often much harder to pull of in practice. You’ll find lots of details in [Gary Boyd]’s write-up of his optical scanning spectrometer project, but no devils.

Schematic diagram of [Gary Boyd]’s Czerny-Turner type scanning spectrometer.A scanning spectrometer is opposed to the more usual camera-type spectrometer we see on these pages in that it uses a single-pixel sensor that sweeps across the spectrum, rather than spreading the spectrum across an imaging sensor.

Specifically, [Gary] has implemented a Czerny-Turner type spectrometer, which is a two-mirror design. The first concave mirror culminates the light coming into the spectrometer from its entrance slit, focusing it on a reflective diffraction grating. The second concave mirror focuses the various rays of light split by the diffraction grating onto the detector.

In this case [Gary] uses a cheap VEML 7700 ambient light sensor mounted to a small linear stage from amazon to achieve a very respectable 1 nm resolution in the range from 360 nm to 980 nm. That’s better than the human eye, so nothing to sneeze at — but [Gary] includes some ideas in his blog post to extend that even further. The whole device is controlled via an Arduino Uno that streams data to [Gary]’s PC.

[Gary] documents everything very well, from his optical mounts to the Arduino code used to drive the stepper motor and take measurements from the VEML 7700 sensor. The LED and laser “turrets” used in calibration are great designs as well. He also shares the spectra this device is capable of capturing– everything from the blackbody of a tungsten lamp used in calibration, to a cuvette of tea, to the sun itself as you can see here. If you have a couple minutes, [Gary]’s full writeup is absolutely worth a read.

This isn’t the first spectrometer we’ve highlighted– you might say we’ve shown a whole spectrum of them.

hackaday.com/2025/04/14/diy-sc…

Dall’adescamento online al data harvesting, l’esposizione dei giovani utenti richiede un approccio olistico alla sicurezza che coinvolga tecnologia, educazione e policy.

L’immersione quasi totale delle nuove generazioni nel tessuto digitale è un dato di fatto irreversibile. Bambini e adolescenti, i cosiddetti “nativi digitali”, interagiscono quotidianamente con un ecosistema tecnologico complesso – smartphone, social network, piattaforme di gaming, dispositivi IoT – spesso con una consapevolezza insufficiente dei rischi intrinseci. Se da un lato questa familiarità offre opportunità senza precedenti, dall’altro espone questa fascia demografica vulnerabile a un ventaglio crescente e sempre più sofisticato di minacce informatiche. Per la comunità della cybersecurity, proteggere i futuri cittadini digitali non è solo un dovere etico, ma una sfida strategica cruciale per la stabilità dell’intero ecosistema.

Il Campo Minato Digitale: Analisi delle Minacce Emergenti

L’ingenuità e la naturale tendenza alla socializzazione dei più giovani li rendono bersagli primari per diverse tipologie di attacchi. Oltre al cyberbullismo, fenomeno ormai tristemente noto per le sue devastanti conseguenze psicologiche, assistiamo a un’evoluzione preoccupante di altre minacce:

• Adescamento Online (Grooming) Sofisticato: I malintenzionati utilizzano tecniche di social engineering sempre più raffinate, sfruttando piattaforme di gaming, social media di nicchia e persino ambienti di apprendimento virtuale per costruire rapporti di fiducia con i minori, spesso mascherandosi dietro profili falsi o compromessi.
• Phishing e Malware Mirati: Campagne di phishing non si limitano più alle email, ma si diffondono tramite messaggistica istantanea, commenti sui social e app contraffatte. Malware specifici, come spyware o keylogger, possono essere veicolati tramite download apparentemente innocui, mirando a carpire dati sensibili o credenziali di accesso.
• Violazioni della Privacy e Data Harvesting: L’impronta digitale di un individuo inizia a formarsi in età precocissima. App, giochi e piattaforme EdTech possono raccogliere quantità significative di dati personali, spesso con policy sulla privacy poco trasparenti o difficilmente comprensibili per utenti non adulti (e talvolta anche per i genitori). Le implicazioni a lungo termine di queste raccolte dati sono ancora in parte inesplorate ma potenzialmente gravi (furto d’identità, profilazione futura, ecc.).
• Esposizione a Contenuti Dannosi: Algoritmi di raccomandazione non sempre efficaci e la facilità di accesso a contenuti non filtrati espongono i minori a disinformazione, materiale violento, pornografico o estremista.

Strategie di Mitigazione: Un Approccio Multi-livello

La protezione dei minori online non può basarsi su un’unica soluzione, ma richiede un approccio integrato che combini tecnologia, educazione e policy:

1. Digital Literacy e Consapevolezza Critica: Al di là del semplice “non parlare con gli sconosciuti”, è fondamentale sviluppare nei ragazzi capacità di pensiero critico per valutare l’affidabilità delle informazioni, riconoscere tentativi di manipolazione e comprendere le dinamiche della comunicazione online. Questo include l’educazione su privacy, gestione delle password, impostazioni di sicurezza dei dispositivi e dei profili social. Il dialogo aperto in famiglia e programmi scolastici dedicati sono essenziali.
2. Soluzioni Tecnologiche e Limiti: Strumenti di parental control, filtri di contenuto e software di monitoraggio possono offrire un livello di protezione, ma presentano limiti. Non possono sostituire l’educazione e possono essere aggirati da utenti tecnicamente più abili. È cruciale che i genitori comprendano le funzionalità e i limiti di questi strumenti, integrandoli in una strategia più ampia.
3. Responsabilità dell’Industria Tech (Safety by Design): Le aziende tecnologiche hanno una responsabilità fondamentale. Principi come “Safety by Design” e “Age-Appropriate Design” devono diventare standard di settore. Ciò implica lo sviluppo di interfacce più sicure per i minori, meccanismi di verifica dell’età più robusti (pur nel rispetto della privacy), moderazione dei contenuti più efficace (magari sfruttando AI con supervisione umana) e policy sulla privacy chiare e accessibili.
4. Framework Normativo e Collaborazione: Leggi come il GDPR in Europa (con specifiche tutele per i minori) e il COPPA negli USA forniscono basi normative, ma l’applicazione e l’aggiornamento costante sono sfide aperte. La collaborazione tra legislatori, forze dell’ordine (come la Polizia Postale in Italia), scuole, famiglie e industria è indispensabile per creare un fronte comune.

Il Futuro Digitale

La cybersecurity dei minori non è un problema marginale confinato all’ambito domestico o scolastico; è una componente essenziale della sicurezza informatica globale. Proteggere i “nativi digitali” significa non solo tutelare individui vulnerabili, ma anche formare futuri cittadini digitali consapevoli e responsabili, capaci di contribuire positivamente a un ecosistema online più sicuro e affidabile. Per i professionisti della cybersecurity, ciò implica un impegno costante nella ricerca, nello sviluppo di soluzioni innovative e nella promozione di una cultura della sicurezza pervasiva, che parta proprio dalle fondamenta della nostra società digitale: i più giovani. La vigilanza, l’educazione e la collaborazione intersettoriale rimangono le chiavi per affrontare questa sfida complessa e in continua evoluzione.

L'articolo Nativi Digitali: Le Nuove Minacce Cyber che Mettono a Rischio i Nostri Bambini proviene da il blog della sicurezza informatica.

The PET opened, showing the motherboard. (Credit: Ken Shirriff)
An unavoidable part of old home computer systems and kin like the Commodore PET is that due to the age of their components they will develop issues that go far beyond what was covered in the official repair manual, not to mention require unconventional repairs. A case in point is the 2001 series Commodore PET that [Ken Shirriff] recently repaired.

The initial diagnosis was quite straightforward: it did turn on, but only displayed random symbols on the CRT, so obviously the ICs weren’t entirely happy, but at least the power supply and the basic display routines seemed to be more or less functional. Surely this meant that only a few bad ICs and maybe a few capacitors had to be replaced, and everything would be fully functional again.

Initially two bad MOS MPS6540 ROM chips had to be replaced with 2716 EPROMs using an adapter, but this did not fix the original symptom. After a logic analyzer session three bad RAM ICs were identified, which mostly fixed the display issue, aside from a quaint 2×2 checkerboard pattern and completely bizarre behavior upon running BASIC programs.

Using the logic analyzer capture the 6502 MPU was identified as writing to the wrong addresses. Ironically, this turned out to be due to a wrong byte in one of the replacement 2716 EPROMs as the used programmer wasn’t quite capable of hitting the right programming voltage. Using a better programmer fixed this, but on the next boot another RAM IC turned out to have failed, upping the total of failed silicon to four RAM & two ROM ICs, as pictured above, and teaching the important lesson to test replacement ROMs before you stick them into a system.

hackaday.com/2025/04/14/a-tric…

Poche ore fa, all’interno del famoso forum underground Breach Forums, un post da parte dell’utente “sentap” ha riportato la potenziale violazione dei dati dal Comune di Grosseto. Il criminale informatico ha scritto nel post che ha “estratto un pacchetto dati nuovo ed esclusivo dal sito web ufficiale comune.grosseto.it (Comune di Grosseto, Italia)” e che tale “pacchetto” della dimensione di 13GB contiene dati sensibili.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Ho estratto un pacchetto dati nuovo ed esclusivo dal sito web ufficiale comune.grosseto.it (Comune di Grosseto, Italia) e sono pronto a condividerlo con voi. Questo pacchetto da 13 GB contiene dati sensibili che possono essere utilizzati per vari scopi (ricerca, analisi o qualsiasi altra cosa desideriate).

Dettagli dei dati:
Dimensioni: 13 GB
Contenuto:
Documenti urbanistici (Urbanistica) e catasto terreni
Segnalazioni di incendi (Catasto dei Boschi e Pascoli Percorsi dal Fuoco)
Dati GIS, comprese mappe vettoriali e cartografia di base
Informazioni sulla classificazione degli edifici (classi di utilizzo e restrizioni ambientali)
Documenti legali e ambientali (es. VAS e DEPERIMETRAZIONE_VINCOLI)
Richiesta:

se questi dati ti piacciono, condividi la tua opinione o il tuo feedback nel thread. Se hai bisogno di altri dati di questo tipo, mandami un messaggio privato e li organizzerò per te!
Buon divertimento!
Il criminale informatico, noto per la sua discreta reputazione all’interno dei forum underground, ha condiviso come campioni alcuni documenti che, a una prima analisi, sembrerebbero di natura pubblica e contenere informazioni facilmente reperibili online.

Inoltre, i file risultano scaricabili gratuitamente, suggerendo una possibile attività di web scraping sul sito e, di conseguenza, un basso valore di monetizzazione delle informazioni sottratte. Sarà ora necessario attendere le analisi del Comune di Grosseto per determinare se si sia verificata una reale compromissione dei dati.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Il Comune di Grosseto finisce su Breach Forums. 13GB in possesso dei criminali informatici? proviene da il blog della sicurezza informatica.

Dopo che il quarto corso si è concluso e i partecipanti iniziano ad entrare sempre più all’interno della CTI Attraverso i laboratori del gruppo DarkLab, il team di Formazione di Red Hot Cyber avvia il nuovo corso di formazione professionale in “Live Class” di livello intermedio sulla cyber threat intelligence.

Il corso consentirà, dopo aver sostenuto con successo l’esame finale, di conseguire la certificazione Cyber Threat Intelligence Professional, rilasciata da Red Hot Cyber, ma il corso non sarà fine a se stesso.

Conoscere l’underground per imparare a proteggerti meglio

Sei pronto per un viaggio nel lato oscuro di Internet ed accedere al Dark Web? Sei pronto a comprendere come criminali informatici collaborano e utilizzano le risorse informatiche?

Se la risposta è sì, allora il nostro nuovo corso di Cyber Threat Intelligence (CTI) potrebbe essere esattamente ciò di cui hai bisogno.

Condotta dal professor Pietro Melillo, PhD presso l’Università del Sannio e docente presso l’Università IUSI, questa esperienza formativa rivoluzionaria promette di fornire agli studenti gli strumenti e la conoscenza necessari per navigare in sicurezza le profondità del web sotterraneo.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati. Immagine della consegna del certificato CTIP ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
Il Professore Melillo è un esperto riconosciuto nel campo della sicurezza informatica, con anni di esperienza nella ricerca e nell’insegnamento. Ha condotto ricerche innovative nel campo della minaccia informatica e ha una vasta conoscenza dei meccanismi che regolano il Dark Web.

“La threat intelligence, o CTI, consiste in dati contenenti informazioni dettagliate sulle minacce alla sicurezza informatica che prendono di mira un’organizzazione”, spiega il Professore Melillo. “Il corso fornirà sia ai neofiti che ai professionisti del settore le competenze tecnico-operative e strategiche necessarie per affrontare le nuove sfide professionali sollevate dalla cybersecurity.”
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.

Ma che cos’è la Cyber Threat Intelligence?

La Cyber Threat Intelligence (CTI), è un campo della sicurezza informatica che si occupa di raccogliere, analizzare e interpretare informazioni relative alle minacce informatiche. Queste informazioni possono riguardare attacchi informatici in corso, potenziali vulnerabilità nei sistemi informatici, gruppi hacker, metodi di attacco e altro ancora.
Immagine della consegna del certificato CTIP da parte del Professor Pietro Melillo ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
L’obiettivo principale della CTI è quello di fornire alle organizzazioni e agli individui le informazioni necessarie per comprendere le minacce alla sicurezza informatica che potrebbero mettere a rischio i loro dati, le loro reti o i loro sistemi informatici. Utilizzando queste informazioni, le organizzazioni possono prendere decisioni informate sulla protezione dei loro asset digitali e implementare strategie di difesa più efficaci.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
La CTI può includere sia fonti di informazioni pubbliche (OSINT), come report di sicurezza, articoli di ricerca e notizie, sia fonti di informazioni non pubbliche (CLOSINT), come dati raccolti da sensori di sicurezza, analisi di malware e rapporti di intelligence condivisi tra organizzazioni.

In sintesi, la Cyber Threat Intelligence è uno strumento fondamentale nella lotta contro le minacce informatiche, fornendo una panoramica approfondita e strategica delle attività e delle intenzioni degli attaccanti, e consentendo alle organizzazioni di prepararsi meglio e rispondere in modo più efficace alle minacce alla sicurezza informatica.

Come si articolerà il corso in Live Class

Il corso si articolerà in diverse fasi cruciali:

• Dark web e reti protette
  
  • Cos’è il dark web
  • Storia del dak web
  • Come accedere al dark web in modo sicuro
  • Le risorse undeground

  
  

• Le minacce cyber
  
  • I threat actors
  • I forum underground
  • Le botnet e gli infostealer
  • Gli 0day e il mercato degli exploit
  • I broker di accesso
  • Il lato oscuro di Telegram
  • Il MaaS (Malware as a service)
  • Il Threat Hunting
  • Gli indicatori di compromissione (IoC)
  • Accesso alle risorse underground

  
  

• La cyber threat intelligence
  
  • La Cyber Threta Intelligence
  • Benefici per le organizzazioni
  • Fonti OSINT, HUMINT, TECHINT, CLOSINT
  • Traffic Light Protocol (TLP)
  • Strumenti di raccolta

  
  

• Il fenomeno del ransomware
  
  • Le cyber gang ransomware
  • La piramide del RaaS (Ransomware as a service)
  • I data leak site (DLS o siti della vergogna)
  • I ransomware monitor
  • Fonti open source
  • Accesso ai data leak site

  
  

• Strumenti di raccolta dati ed analisi
  
  • Tool open source, a pagamento e risorse online freeware
  • Tecniche di monitoraggio e rilevamento
  • Metodologie di analisi
  • Strumenti e tecniche di analisi
  • Esercitazioni pratiche

  
  

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Per partecipare al corso sono necessarie delle nozioni di base sulla navigazione internet e sulla sicurezza informatica. Le lezioni saranno in modalità live-webinar dove gli alunni potranno interagire con i professori online. Le lezioni sono a numero chiuso, per poter seguire al meglio ogni singola persona dal docente che sarà a vostra disposizione per eventuali dettagli o chiarimenti relativamente alle lezioni svolte.

Di seguito le date previste per la quinta edizione del corso:

• Domenica 8 Giugno dalle 16 alle 19
• Domenica 15 Giugno dalle 16 alle 19
• Domenica 22 Giugno dalle 16 alle 19
• Domenica 29 Giugno dalle 16 alle 19
• Domenica 6 Luglio dalle 16 alle 19

Il professor Melillo consegna gli attestati di Certificazione CTIP ai partecipanti del corso.
Al termine del corso verrà rilasciato da Red Hot Cyber una certificazione di partecipazione al corso a seguito del completamento dei test che ne attestano il raggiungimento delle competenze acquisite. Per chi fornirà il consenso, il numero del certificato corrispondente e il nome, verranno pubblicati all’interno della pagina delle certificazioni.

Differenza tra corsi in Live-Class e in E-Learning

I corsi in live class rappresentano un’esperienza formativa interattiva e dinamica, ideale per chi desidera un confronto diretto con il docente e una partecipazione attiva. Gli studenti seguono le lezioni online in tempo reale e possono fare domande, ricevere chiarimenti immediati e approfondire argomenti complessi attraverso il dialogo. Nei corsi di livello intermedio, come quello sulla Cyber Threat Intelligence (CTI), questa modalità permette di affrontare temi avanzati con il supporto continuo del professore, disponibile anche durante la settimana per risolvere dubbi e fornire ulteriore assistenza.

I corsi in e-learning, invece, offrono la massima flessibilità e autonomia, rendendoli particolarmente adatti per chi si approccia per la prima volta a un argomento o ha bisogno di gestire i propri tempi di studio. Con lezioni registrate disponibili in qualsiasi momento, gli studenti possono costruire il proprio percorso di apprendimento senza vincoli di orario. Per i corsi di livello base sulla CTI, questa modalità permette di avvicinarsi ai fondamenti della materia. Anche se l’interazione con il docente non avviene in tempo reale, gli studenti possono inviare domande via email e ricevere risposte per chiarire eventuali incertezze.

Ad oggi puoi acquistare con uno sconto del 20% fino a Dicembre 2024 il corso “Dark Web e Cyber threat Intelligence” in versione E-Learning utilizzando questo link sulla nostra piattaforma di Academy.

Ma dopo il corso arriva il bello …

Il corso “Dark Web & Cyber Threat Intelligence” progettato da Red Hot Cyber offre un’esperienza pratica che continua anche dopo la conclusione del percorso formativo. I partecipanti che lo desiderano avranno l’opportunità di entrare a far parte del collettivo “DarkLab”, dove, sotto la guida di esperti, potranno contribuire alla redazione di report e articoli, interviste ai threat actors e approfondimenti legati alla cyber threat intelligence.

Questo percorso didattico è unico nel suo genere: Red Hot Cyber offre infatti un accesso esclusivo ad analisi e report di cyber threat intelligence, pubblicati regolarmente sul blog. I partecipanti avranno la possibilità di esplorare le realtà dell’underground digitale, con la possibilità di condurre analisi specifiche e mirate, un’opportunità che non troverete altrove.

Ulteriori informazioni utili:

• Pagina del corso “Darkweb e Cyber Threat Intelligence”: redhotcyber.com/academy/corso-…
• Pagina delle certificazioni (solo per chi fornisce il consenso alla pubblicazione del nome): redhotcyber.com/academy/certif…
• Conferimento alla Red Hot Cyber Conference dei certificati CTIP (minuto 2:18): youtube.com/watch?v=p71gQYUnv7…
• Alcuni post su Linkedin che riportano informazioni sul corso, da parte dei precedenti partecipanti al corso e alla certificazione CTIP.
• Il Gruppo Dark Lab https://www.redhotcyber.com/post/nasce-dark-lab-il-team-di-cyber-threat-intelligence-della-community-di-red-hot-cyber/

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
L'articolo Sta per partire la Quinta Edizione in Live Class del Corso Darkweb & Cyber Threat Intelligence proviene da il blog della sicurezza informatica.

Over on his YouTube channel [Electronic Wizard] has released a video that explains how infrared (IR) remote controllers work: IR Remote Controllers protocol: 101 to advanced.

This video covers the NEC family of protocols, which are widely used in typical consumer IR remote control devices, and explains how the 38 kHz carrier wave is used to encode a binary signal. [Electronic Wizard] uses his Rigol DS1102 oscilloscope and a breadboard jig to sniff the signal from an example IR controller.

There is also an honorable mention of the HS0038 integrated-circuit which can interpret the light waves and output a digital signal. Of course if you’re a tough guy you don’t need no stinkin’ integrated-circuit IR receiver implementation because you can build your own!

Before the video concludes there is a brief discussion about how to interpret the binary signal using a combination of long and short pulses. If this looks similar to Morse Code to you that’s because it is similar to Morse Code! But not entirely the same, as you will learn if you watch the video!

youtube.com/embed/B6y6Pbr0ENI?…

hackaday.com/2025/04/13/introd…

Negli ultimi anni, la cybersecurity ha iniziato a guardare con crescente preoccupazione non solo alle vulnerabilità interne alle organizzazioni, ma a quelle che si insinuano nei loro fornitori. È il tema della supply chain security, dove il punto debole non è più necessariamente il perimetro dell’azienda, ma quello dei suoi partner. Tuttavia, il recente attacco che ha coinvolto Mooney Servizi (MyCicero), ATM Milano, Busitalia Veneto e TUA Abruzzo ci proietta in uno scenario ancora più complesso: un attacco alla supply chain della supply chain.
Schema dell’attacco alla supplychain e coinvolgimento delle aziende a valle

I fatti degli attacchi recenti

I fatti sono noti, Mooney Servizi – azienda che gestisce piattaforme digitali come myCicero – è stata vittima di un attacco informatico. L’intrusione, secondo quanto dichiarato da Mooney, è avvenuta a livello infrastrutturale: è stato compromesso un archivio cloud gestito da WIIT S.p.A., provider di servizi cloud e data center ad alta affidabilità.

I dati trafugati – secondo quanto riportato – includono informazioni anagrafiche, email, numeri di telefono e dettagli di profilazione legati all’utilizzo dei servizi di mobilità. A non essere stati compromessi, fortunatamente, sono le credenziali di accesso e i dati di pagamento, custoditi su infrastrutture distinte.

Il dettaglio più rilevante non è solo il furto di dati. È la catena delle responsabilità tecniche che si è rivelata lunga e poco trasparente:

• WIIT, il provider cloud, avrebbe subito l’attacco.
• Mooney Servizi, cliente di WIIT, ne è rimasta colpita in quanto ospitava lì i propri sistemi.
• I clienti di Mooney – tra cui ATM Milano, Busitalia Veneto e TUA Abruzzo – si sono trovati a gestire un incidente che non ha avuto origine direttamente nei loro sistemi, ma li ha colpiti in pieno.

E a pagare il prezzo più alto, ancora una volta, sono stati gli utenti finali.

Se nei classici attacchi alla supply chain assistiamo ad una compromissione che da un fornitore arriva al cliente finale, qui accade qualcosa di più subdolo: una vulnerabilità del fornitore del fornitore si traduce in un data breach per più aziende terze, che hanno semplicemente delegato la gestione del servizio a un attore esterno ritenuto affidabile.

La Supply Chain della Supply Chain

ATM, Busitalia e TUA, infatti, non hanno subito direttamente alcuna violazione dei loro sistemi interni. E nemmeno, da quanto emerge, Mooney ha subito un attacco diretto sui propri ambienti di sviluppo. L’intrusione si è verificata su un archivio cloud ospitato presso WIIT.

Questa architettura a cascata, seppur comune nei sistemi SaaS e nel mondo dell’outsourcing, espone a un rischio difficilmente controllabile: quello di diventare “vittime collaterali” di un’architettura altrui, senza reale visibilità su come i dati siano gestiti, protetti, copiati, o eventualmente archiviati in cloud di terze parti.

A fronte delle dichiarazioni puntuali di Mooney Servizi, e della trasparenza di ATM, Busitalia e TUA nel notificare pubblicamente l’accaduto ai propri utenti (con dovizia di dettagli e responsabilità), colpisce la mancata comunicazione del cloud provider: WIIT S.p.A.

Ad oggi, nessun comunicato ufficiale è stato diffuso dal provider cloud. Nessuna conferma, nessuna smentita, nessuna nota tecnica o rassicurazione pubblica. E questo non aiuta neanche ulteriori aziende a fare una lesson learned sull’accaduto e più nello specifico:

• Qual è stata la reale dinamica tecnica dell’attacco?
• I dati sono stati esfiltrati da un sistema di backup, da un bucket S3 mal configurato o da altro?
• Quanti clienti WIIT sono coinvolti oltre a Mooney Servizi?
• È stata attivata una procedura di notifica al Garante Privacy o all’ACN?
• I server sui quali si appoggiava WIIT erano nei suoi datacenter oppure acquistati a loro volta da un altro cloud provider?

Resta quindi la narrazione dei clienti – Mooney e i suoi clienti – che si trovano a fare comunicazione di crisi per conto di chi ha subito (o forse originato) l’attacco.

Un nuovo paradigma di rischio

Il caso Mooney-MyCicero evidenzia un nuovo paradigma di rischio. In un ecosistema digitale distribuito, le aziende che si affidano a fornitori di servizi SaaS o cloud non delegano solo l’operatività, ma anche il proprio rischio reputazionale, legale e tecnico. E spesso lo fanno senza visibilità sulle misure effettive adottate nei livelli inferiori della catena.

La domanda che sorge spontanea è: quanto controllo effettivo hanno ATM, Busitalia o TUA sulla sicurezza dei dati quando affidano a un fornitore un servizio che, a sua volta, si appoggia su altri fornitori? O ancora: quante aziende italiane oggi stanno gestendo dati critici su infrastrutture su cui non hanno alcuna governance reale?

Questo incidente non è solo un problema di sicurezza informatica: è un problema di modello operativo. Quando la supply chain si estende su più livelli, la fiducia non può più essere cieca. Serve una due diligence tecnica multilivello, contrattualizzata e verificabile. Serve maggiore trasparenza nei processi di delega infrastrutturale, e serve anche una catena di responsabilità più chiara e, soprattutto, pubblica.

Fino a quando casi come questi verranno gestiti con comunicazioni parziali o frammentate – in attesa che il fornitore a monte decida se e quando dire qualcosa – sarà difficile ripristinare davvero la fiducia dell’utente finale. E l’industria digitale continuerà a inseguire gli attaccanti, un livello di supply chain alla volta.

L'articolo Attacco alla Supply Chain della Supply Chain: nuove vulnerabilità sistemiche e approccio alle terze parti proviene da il blog della sicurezza informatica.