If you want to convert heat into electrical power, it’s hard to find a simpler method than a thermoelectric generator. The Seebeck effect means that the junction of two dissimilar conductors will produce a voltage potential when heated, but the same effect also applies to certain alloys, even without a junction. [Simplifier] has been trying to find the best maker-friendly thermoelectric alloys, and recently shared the results of some extensive experimentation.

The experiments investigated a variety of bismuth alloys, and tried to determine the effects of adding lead, antimony, tin, and zinc. [Simplifier] mixed together each alloy in an electric furnace, cast it into a cylindrical mold, machined the resulting rod to a uniform length, and used tin-bismuth solder to connect each end to a brass electrode. To test each composition, one end of the cylinder was cooled with ice while the other was held in boiling water, then resistance was measured under this known temperature gradient. According to the Wiedemann-Franz law, this was enough information to approximate the metal’s thermal conductivity.

Armed with the necessary data, [Simplifier] was able to calculate each alloy’s thermoelectric efficiency coefficient. The results showed some useful information: antimony is a useful additive at about 5% by weight, tin and lead created relatively good thermoelectric materials with opposite polarities, and zinc was useful only to improve the mechanical properties at the expense of efficiency. Even in the best case, the thermoelectric efficiency didn’t exceed 6.9%, which is nonetheless quite respectable for a homemade material.

This project is a great deal more accessible for an amateur than previous thermoelectric material research we’ve covered, and a bit more efficient than another home project we’ve seen. If you just want to get straight to power generation, check out this project.

hackaday.com/2025/05/16/home-c…

Il dibattito sull’introduzione di un obbligo di utilizzo del documento d’identità per la registrazione ai social network torna ciclicamente ad accendere gli animi, contrapponendo la promessa di un web più sicuro alle preoccupazioni per la privacy e la libertà d’espressione. Diverse proposte, avanzate anche in Italia da figure politiche come Luigi Marattin e più recentemente dal ministro Giuseppe Valditara, mirano a legare i profili social a identità verificate, con l’obiettivo primario di contrastare fenomeni dilaganti come il cyberbullismo, la diffusione di fake news, l’hate speech e altre attività illecite che prosperano sotto lo scudo dell’anonimato.

Ma quali sono i “reali” pro e contro di una misura così impattante?

Le ragioni del “Sì”: un argine contro l’illegalità e la disinformazione

I sostenitori dell’obbligo di identificazione sottolineano come questa misura potrebbe rappresentare un potente deterrente contro i comportamenti scorretti online. Sapere che il proprio profilo è direttamente collegato alla propria identità reale potrebbe scoraggiare molti dal compiere atti di cyberbullismo, diffondere notizie false o insultare altri utenti, temendo conseguenze legali più immediate e concrete.

Tra i principali vantaggi evidenziati:

• Contrasto al cyberbullismo e all’hate speech: L’identificazione renderebbe più facile perseguire gli autori di minacce, insulti e discorsi d’odio, offrendo maggiore tutela alle vittime, in particolare ai minori. Il ministro Valditara, ad esempio, ha proposto l’obbligo della carta d’identità per l’accesso ai social e un divieto di iscrizione per i minori di 16 anni proprio per proteggere i più giovani.
• Lotta alla disinformazione: La creazione di account falsi finalizzati alla propaganda o alla diffusione di fake news verrebbe ostacolata, contribuendo a un’informazione online più trasparente e affidabile.
• Responsabilizzazione degli utenti: L’anonimato, percepito da alcuni come una “zona franca”, verrebbe meno, inducendo una maggiore consapevolezza delle proprie azioni e delle relative responsabilità.
• Facilitazione delle indagini: Le forze dell’ordine avrebbero strumenti più efficaci per risalire agli autori di reati commessi online, accelerando le indagini e l’applicazione della giustizia.

L’idea di fondo è che un ambiente digitale meno anonimo sarebbe intrinsecamente più sicuro e civile.

Le ragioni del “No”: privacy, libertà e rischi per la sicurezza dei dati

Sul fronte opposto, le critiche a una tale proposta sono numerose e toccano nervi scoperti legati ai diritti fondamentali e alla sicurezza informatica.

I principali timori includono:

• Violazione della privacy: Richiedere un documento d’identità per accedere ai social network implicherebbe la raccolta e la conservazione di una mole enorme di dati personali sensibili. Ciò solleva interrogativi su chi gestirebbe questi dati, come verrebbero protetti e per quali finalità potrebbero essere utilizzati, oltre alla registrazione stessa. Il rischio di data breach di database così vasti e centralizzati sarebbe estremamente elevato, con conseguenze potenzialmente disastrose per i cittadini.
• Limitazione della libertà d’espressione: L’anonimato online, sebbene talvolta abusato, è anche considerato uno strumento cruciale per la libera espressione, specialmente per individui che trattano argomenti sensibili, dissidenti politici o whistleblower. L’obbligo di identificazione potrebbe generare un “chilling effect”, inducendo le persone all’autocensura per timore di ritorsioni.
• Inefficacia contro i malintenzionati più esperti: Criminali informatici determinati e utenti tecnicamente abili potrebbero comunque trovare modi per aggirare l’obbligo, utilizzando documenti falsi, identità rubate o servizi VPN e proxy per mascherare la propria origine. La misura potrebbe quindi rivelarsi un ostacolo per l’utente comune più che per i veri “professionisti” dell’illecito.
• Complessità tecnica e applicativa: Implementare un sistema di verifica dell’identità a livello globale o anche solo nazionale per tutte le piattaforme social presenta sfide tecniche e logistiche enormi. Come si accorderebbero gli Stati con piattaforme che operano a livello transnazionale? Come verrebbe gestita la verifica per i cittadini stranieri?
• Rischio di abusi e sorveglianza: La centralizzazione dei dati identificativi potrebbe aprire la porta a forme di sorveglianza di massa o a un uso improprio delle informazioni da parte delle autorità o delle stesse piattaforme.

Esperti di cybersecurity, come il professor Giovanni Ziccardi, hanno espresso perplessità, sottolineando come l’identificazione tramite indirizzo IP sia già una pratica investigativa e che l’obbligo di documento potrebbe non aggiungere molto in termini di reale tracciabilità dei reati più gravi, a fronte di un notevole sacrificio della privacy. Si teme inoltre che la gestione di tali moli di documenti d’identità da parte di piattaforme o enti terzi creerebbe nuovi, appetibili bersagli per i cybercriminali.

Un equilibrio difficile da trovare

Un eventuale percorso legislativo in tal senso dovrà necessariamente passare attraverso un approfondito dibattito pubblico che coinvolga esperti di cybersecurity, giuristi, attivisti per i diritti digitali e le stesse piattaforme, al fine di esplorare soluzioni alternative o meccanismi che possano bilanciare efficacemente queste contrastanti, ma legittime, esigenze. La sfida resta quella di creare un ambiente online più responsabile senza sacrificare le libertà che lo hanno reso uno strumento di connessione e informazione globale.

Il mio punto di vista

La necessità di arginare il propagarsi di fake news e disinformazione rappresenta una sfida cruciale e urgente per tutte le democrazie contemporanee. L’inquinamento del dibattito pubblico e la manipolazione dell’opinione attraverso notizie false minano la fiducia nelle istituzioni e la coesione sociale. Tuttavia, la soluzione non può risiedere unicamente in misure che rischiano di comprimere diritti fondamentali.

Una possibile via intermedia, che miri a responsabilizzare senza ledere eccessivamente la privacy, potrebbe articolarsi su più livelli:

1. Certificazione Volontaria dell’Identità e “Account Verificati Potenziati”: Invece di un obbligo indiscriminato, si potrebbe incentivare un sistema di verifica volontaria dell’identità. Gli utenti che scelgono di autenticare il proprio profilo potrebbero ottenere un “badge” di affidabilità chiaramente visibile e, potenzialmente, una maggiore visibilità o priorità nella diffusione dei propri contenuti (se conformi alle policy). Questo creerebbe una distinzione chiara tra account anonimi/pseudonimi e account legati a un’identità reale verificata, permettendo agli altri utenti di ponderare diversamente la credibilità delle fonti. Le piattaforme dovrebbero garantire standard elevatissimi di sicurezza per i dati di chi aderisce.
2. Maggiore Responsabilità delle Piattaforme sulla Trasparenza Algoritmica e sulla Moderazione: Le piattaforme dovrebbero essere legalmente tenute a una maggiore trasparenza sul funzionamento dei loro algoritmi di raccomandazione, che spesso amplificano contenuti sensazionalistici o divisivi, incluse le fake news. Parallelamente, andrebbero potenziati gli obblighi di intervento rapido ed efficace contro la disinformazione palesemente dannosa e le campagne di influenza coordinate, anche attraverso un aumento significativo di moderatori umani qualificati e strumenti di IA dedicati, con meccanismi di appello chiari e accessibili per gli utenti.
3. Educazione Digitale e Sviluppo del Pensiero Critico: Fondamentale e prioritario è un investimento massiccio e continuo nell’educazione alla cittadinanza digitale, a partire dalle scuole. Formare cittadini capaci di riconoscere le notizie false, comprendere i meccanismi della disinformazione e navigare il mondo online con spirito critico è la difesa più potente e sostenibile nel lungo periodo.

Questo approccio combinato potrebbe contribuire a creare un ecosistema digitale più sano e affidabile, promuovendo la responsabilità e la trasparenza senza ricorrere a una sorveglianza generalizzata che potrebbe avere effetti collaterali indesiderati sulla libertà di espressione e sull’innovazione. La lotta alla disinformazione richiede un impegno corale che coinvolga istituzioni, piattaforme tecnologiche, mondo dell’educazione e singoli cittadini.

L'articolo Identità digitale obbligatoria: scudo contro i cybercrimini o minaccia per la democrazia? proviene da il blog della sicurezza informatica.

Today in the it’s-surprising-that-it-works department we have a ding dong doorbell extension from [Ajoy Raman].

What [Ajoy] wanted to do was to extend the range of his existing doorbell so that he could hear it in his workshop. His plan of attack was to buy a new wireless doorbell and then interface its transmitter with his existing doorbell. But his approach is something others might not have considered if they had have been tasked with this job, and it’s surprising to learn that it works!

What he’s done is wrap a new coil around the ding dong doorbell’s solenoid. When the solenoid activates, a small voltage is induced into the coil. This then gets run into the wireless doorbell transmitter power supply (instead of its battery) via a rectifier diode and a filter capacitor. The wireless doorbell transmitter — having also had its push-button shorted out — operates for long enough from this induced electrical pulse to transmit the signal to the receiver. To be clear: the wireless transmitter is fully powered by the pulse from the coil around the solenoid. Brilliant! Nice hack!

We weren’t sure how reliable the transmitter would be when taken out of the lab and installed in the house so we checked in with [Ajoy] to find out. It’s in production now and operating well at a distance of around 50 feet!

Of course we’ve published heaps of doorbell hacks here on Hackaday before, such as this Bluetooth Low Energy (BLE) doorbell and this light-flashing doorbell. Have you hacked your own doorbell? Let us know on the tips line!

youtube.com/embed/PQz1Bgo0KqM?…

hackaday.com/2025/05/16/wirele…

Un’inserzione pubblicata nelle scorse ore sul forum underground XSS ha attratto la mia attenzione: un gruppo chiamato HAXORTeam ha messo in vendita l’accesso alla rete interna di IIX (Israeli Internet eXchange), l’Internet Exchange ufficiale dello Stato di Israele. Prezzo richiesto: 150.000 dollari, pagabili in Monero o Bitcoin, con servizio di escrow incluso.

“Hack sensitive communications between Israeli government, institutions and influential organizations”
— HAXORTeam, XSS Forum, 13 maggio 2025

Nel post pubblicato alle 16:13 (UTC+3), il gruppo criminale descrive con orgoglio le potenzialità dell’accesso offerto:

• Intercettare comunicazioni sensibili di enti governativi, istituzioni e organizzazioni strategiche
• Deviare e manipolare il traffico per eseguire furto dati, sabotaggio o deployment di malware
• Condurre attacchi mirati su obiettivi israeliani
• Accedere a proprietà intellettuali, dati finanziari e risorse classificate
• Disintegrare servizi critici
• Facilitare il movimento laterale nella rete e nuove fasi di compromissione

Il post è firmato da un utente con nickname HAXORTeam, appena registrato (11 maggio 2025) ma già con punteggio di “reazione” pari a 11.

Perché un Internet Exchange è un bersaglio strategico

L’IIX non è un semplice nodo: è la spina dorsale della connettività nazionale israeliana. È l’infrastruttura tramite cui i principali ISP, enti pubblici e fornitori cloud si interconnettono per scambiarsi dati in modo diretto, veloce e resiliente.

Un attore con accesso privilegiato alla sua rete interna può:

• Manipolare routing BGP per indirizzare il traffico attraverso server malevoli
• Monitorare metadati e pattern di comunicazione
• Effettuare BGP hijacking su larga scala
• Isolare digitalmente il Paese con tecniche di “network partitioning”
• Impiantare persistent access in altri peer connessi, inclusi servizi cloud, CDN e DNS root israeliani

Perfetto, grazie per la precisazione. Integro ora un paragrafo chiaro e conciso basato sulla descrizione tecnica dell’IIX che hai fornito, con stile coerente al resto dell’articolo e orientamento tecnico-geopolitico.

IIX: il cuore della rete israeliana

L’Israel Internet Exchange (IIX), gestito dalla Israel Internet Association (ISOC-IL), è il principale punto di interconnessione tra i provider Internet israeliani con connessioni che vanno da 1 fino a 200 Gbit. È qui che gli ISP si “incontrano” per scambiarsi il traffico in modo diretto, senza passare per dorsali internazionali o cavi sottomarini. Una struttura essenziale per garantire latenza minima, risparmio economico e sovranità digitale.

Dal punto di vista tecnico, l’IIX è uno switch a Layer3 (routing) collocato nel data center sotterraneo Med-1, uno dei più grandi del Paese. Gli operatori che vogliono fare peering devono stabilire un collegamento fisico, nel rispetto delle policy definite dallo statuto IIX. Una volta connessi, il traffico tra i vari ISP israeliani può fluire in modo locale, senza deviazioni verso hub europei.

Precedenti storici: quando l’IXP diventa arma

Quello in vendita oggi non è un caso isolato. Gli Internet Exchange sono da anni un obiettivo privilegiato degli attori statali e dei gruppi APT, per le loro potenzialità di sorveglianza e sabotaggio.

• 2018 – DE-CIX Frankfurt: la Corte federale tedesca rivelò che l’intelligence USA, tramite la NSA, aveva cercato di intercettare massivamente il traffico passante per DE-CIX, il più grande IX europeo. Il caso sollevò un acceso dibattito politico sull’ingerenza estera nelle infrastrutture di rete.
• 2020 – Iran IXP: attacchi attribuiti a gruppi affiliati al Mossad e alla CIA avrebbero compromesso temporaneamente le tabelle di routing del principale IX iraniano, causando disservizi a cascata su provider locali. Nessuna rivendicazione ufficiale, ma una conferma implicita da parte di fonti militari israeliane.
• 2023 – Ucraina: durante i primi mesi della guerra, alcuni nodi IX secondari nella regione orientale vennero disattivati da remoto tramite accessi precedentemente compromessi, provocando isolamento digitale locale e interferenze su comunicazioni militari.

Questi episodi dimostrano che l’accesso a un IXP non è un semplice breach tecnico, ma una leva di potere strategico, utile per spionaggio, destabilizzazione e warfare digitale.

Il riferimento a target specifici ucraini nel post (citando “Ukraine intellectual property, financial or classified information”) suggerisce anche connessioni con attori filo-russi, o quantomeno una visione transnazionale dell’attacco, coerente con le tattiche dei gruppi APT sponsorizzati da stati.

Sebbene il prezzo di 150.000$ sia elevato risulta compatibile con l’interesse di soggetti avanzati (militari, intelligence, gruppi APT) disposti a pagare cifre alte per penetrare nodi di rilevanza critica.

In particolare, è plausibile che il venditore agisca come Initial Access Broker, ossia un intermediario che compromette infrastrutture e poi rivende l’accesso a gruppi più organizzati, capaci di monetizzarlo attraverso sabotaggi, intelligence o ransomware.

Questa annuncio rappresenta un precedente pericoloso: la compromissione di un Internet Exchange equivale a colpire il sistema nervoso digitale di una nazione. Non si tratta solo di un rischio teorico, ma di una minaccia immediata alla sicurezza nazionale e globale, con ripercussioni su intelligence, difesa e stabilità geopolitica.

In attesa di una risposta ufficiale dalle autorità israeliane o da ISOC-IL, resta una certezza: il cybercrime si sta evolvendo, e ora punta direttamente ai punti vitali dell’infrastruttura Internet globale.

L'articolo Israeli Internet Exchange compromesso: rischio sabotaggi e intercettazioni a livello statale proviene da il blog della sicurezza informatica.

Stipendi ridotti ai neoassunti e ai precari, organici della redazione del Tg insufficienti dopo i numerosi pensionamenti, carriere e retribuzioni bloccate da troppi anni e lontane da quelle delle altre tv nazionali, nessun piano di sviluppo e investimenti: accade a La7 nonostante gli ottimi dati di bilancio e gli straordinari risultati di ascolto, spinti proprio dai Tg e dai programmi di informazione e dalla crescita su tutte le piattaforme, che trainano l’intero gruppo editoriale.

L’assemblea dei giornalisti de La 7 chiede all’azienda e al Direttore il riconoscimento concreto dell’impegno della redazione attraverso i corretti strumenti del CNLG e degli accordi integrativi aziendali, l’adeguamento degli organici e degli stipendi dei neoassunti, un piano per la stabilizzazione dei colleghi precari, progetti editoriali chiari e regole per favorirne lo sviluppo.

L’assemblea conferma al Comitato di redazione il pacchetto di tre giornate di sciopero già assegnatogli.

Documento approvato dall’assemblea dei giornalisti de La7 con un solo astenuto, nessun voto contrario.

dicorinto.it/associazionismo/a…

Negli ultimi anni l’attenzione politica si è ampliata al di fuori dei confini nazionali dei diversi stati. Dall’oramai superata pandemia causata dal COVID-19 e la (ri)nascita dei diversi conflitti nelle diverse parti del mondo hanno ampliato l’informazione pubblica portando sul tavolo le dichiarazioni e decisioni a livello sovranazionale.

L’Unione Europea ha ricevuto molta copertura mediatica negli ultimi anni si pensi all’AI ACT e tutte le discussioni portate sul tema intelligenza artificiale ed il GDPR nell’ambito della protezione dei dati. Al di fuori delle misure designate all’industria digitale è stata molta sentita l’iniziativa ReArm Europe [1] sia tra i favorevoli che tra gli oppositori a tale progetto.

Questo scenario non può che essere considerato estremamente positivo dove le diverse discussioni vengono messe su un piano multigiurisdizionale su decisioni che altresi, se affrontati autonomamente dai singoli stati, risulterebbero complesse e poco aderenti ad un percorso comune.

Questo articolo vuole affrontare principalmente 2 prese di posizione della Commissione Europea (con una digressione iniziale in ambito Italia) andando a discuterne nel merito. L’intero contenuto si attiene (per quanto possibile) al principio di carità senza voler assumere una sorta di malizia nelle istituzioni che verranno citate.

Tutte le situazioni proposte verranno discusse in quanto rischio (e se attuate, minaccia) al diritto della privacy e al (pseudo)anonimato in ambito digitale e di come è stato gestito il contrapeso in relazione alla sicurezza o tutela di determinate categorie.

Ricordiamo che la privacy è considerato un diritto fondamentale nell’articolo 12 della Dichiarazione Universale dei Diritti Umani [2] e articolo 17 Patto Internazionale sui Diritti Civili e Politici (1966)[3] e ci si aspetta che tale diritto venga tutelato da parte di quei paesi (Italia ed Europa inclusi) che fanno della democrazia il loro perno politico.

Ovviamente sta al singolo decidere che valore dare a tale diritto ma quando una istituzione forza in maniera unilaterale misure che mettono a rischio il rispetto di quest’ultimo è come minimo necessario portare l’attenzione sul tema.

AGCOM – L’erotismo non ha identità

L’ AgCom ha rilasciato, nella giornata del 18 Aprile 2025, un comunicato stampa riguardante le linee guide sulla verifica dell’età degli utenti di “piattaforme di video sharing e i siti web” [4] alla quale i fornitori si dovranno adeguare entro 6 mesi dalla pubblicazione della delibera. Attenendoci alle dichiarazioni pubblicate il sistema di verifica dell’età si baserà su 2 passaggi “logicamente distinti” con 3 attori principali : utente, fornitori di servizi e un terzo ente indipendente.

L’utente dovrà identificarsi all’ente terzo che validerà la sua data di nascita (eg:/ definire se utente minorenne o meno) dopodichè per poter iniziare una sessione sul servizio il fornitore dovrà richiedere una convalida da parte del terzo ente.

Non vengono citati nessuno di questi “soggetti terzi indipendenti certificati” ne tantomeno come viene costituito il processo di verifica ma solamente i criteri che verranno presi in considerazione tra i quali:

• Proporzionalità
• Protezione dei dati personali
• Sicurezza Informatica
• Precisione ed Efficacia

Tale processo viene descritto da AGCOM come meccanismo di “doppio-anonimato” ma ci permettiamo di definire tale affermazione come molto fuorviante. Se il terzo ente deve avere la mia identità di base l’anonimato viene meno nonostante il fornitore di servizi non abbia conoscenza diretta se non l’età dell’utente. A voler essere piu’ precisi, il processo di convalida è il contrario di un meccanismo di “doppio-anonimato” che va anzi ad aggiungere artefatti per il tracciamento degli utenti. tale principio deve essere cristallino e spiegato agli utenti (la quale AGCOM si impegna a tutelare) senza mezzi termini.

Ad essere pignoli non è stata neanche data una definizione di cosa si ritenga un rischio o un pericolo per il minore (ci si è limitati all’equazione visione di contenuti pornografici = danno), si potrebbe facilmente argomentare che una modella postando foto in lingerie linkando il suo profilo OnlyFans nella descrizione sia piu’ dannoso per individui minorenni di un video con atti sessuali reperibile su PornHub.

Nonostante la scadenza relativamente breve entro la quale i fornitori di servizi dovranno adeguarsi per poter operare nei confini italiani non è ancora chiaro come dovrà avvenire la identificazione degli utenti (eg:/ SPID, foto carta identità). Questa non chiarezza lascia abbastanza perplessi vista una consultazione pubblica a riguardo iniziata nel 2024 [5] ma si può presuporre che si tratti di una lacuna comunicativa sul comunicato attuale e che dovremo aspettare la pubblicazione della delibera per maggiori informazioni a riguardo.

Come oramai risaputo queste linee guida hanno uno scopo preciso ovvero “garantire una protezione efficace dei minori dai pericoli del web”, non a caso ciò è un’estensione della legge 159 del 13 novembre 2023 (“Decreto Caivano”) a realtà come siti di scommesse e gioco d’azzardo ponendo i fornitori stessi come responsabili della verifica dell’età della loro utenza.

Nessuno vuole (e deve) affermare che visione di materiale pornografico non sia un rischio (ovviamente con il giusto grado di gravità) in particolare per utenti minorenni. Sono diversi gli studi sul tema quali Problematic Pornography Use: Legal and Health Policy Considerations [6] che va ad analizzare come la visione di pornografia online sia terreno fertile per lo sviluppo della PPU (Problematic Pornography Use) e di come non importi quanto materiale venga visionato ma in quale condizione dello sviluppo cerebrale avviene e in che modalità. Lo studio intitolato Pornography Consumption and Cognitive-Affective Distress ha ricercato le diverse distorsioni causate da un uso eccessivo di materiale pornografico portando a diversi problemi relazionali e la creazione di disfunzioni mentali future.

Proprio perchè siamo ben consci del rischio possiamo permetterci di affermare che tale linee guida non sono per nulla efficaci al problema che si vuole risolvere. La facilità di raggiramento a questo tipo di misure è oramai una ovvietà che è però presente e non va ignorata, per considerare “efficace” una misura deve come minimo essere robusta ai diversi strumenti di raggiro. In caso contrario si ottiene solo una soluzione non al passo coi tempi portando ad un nulla di fatto se non spreco di tempo e risorse alle istituzioni pubbliche.

Ma escludendo questa sfumatura dal discorso assumiamo che l’idea di AGCOM riesca nel suo intento, il risultato non sarebbe una percentuale inferiore di minorenni che usufruiscono di materiale a luci rosse ma bensi l’allontanamento di questo tipo di utenti da canali “leciti” che offrono questo tipo di materiale. Piattaforme come PornHub, XVIDEOS, YouPorn e similari sono stati messi immediatamento sotto i riflettori non appena annunciata la verifica dell’età. Ricordiamoci che tali siti hanno dei controlli e codici di condotta nella pubblicazioni di contenuti andando a punire e segnalare potenziali divulgazioni illecite.

Queste piattaforme (con oramai milioni di utenti annuali) cercano di limitare revenge porn o divulgazione non consensuale mantenendo un ambiente sex positive e principalmente ludico per i suoi utenti dove, nonostante l’enorme varietà di contenuti, non sarà mai terreno fertile per contenuti di violenza, abusi o similari.

Esistono realtà molto piu’ pericolose (alla quale bisognerebbe dare la priorità) che non hanno l’interesse ad adeguarsi a qualsivoglia normativa o bypassandole sfruttando piattaforme di per se neutre (vedasi Telegram). Parliamo di canali/gruppi che si possono trovare tranquillamente su Telegram, siti alternativi con meno restrizioni sui contenuti caricati o qualsiasi altro luogo che incentiva lo scambio di materiale tra utenti. Questi ambienti vanno contrastati non solamente con norme e regole ma con vere e proprie operazioni sul campo che devono essere continue e supportate dalle giuste risorse. Andare a forzare l’accesso tramite verifica dell’età nei modi proposti da AGCOM rischiano di far avvvenire uno shift pesante di minori su piattaforme con meno controllo sui contenuti. Inoltre materiale “estremo” o meno può essere facilmente reperibile su Google Images [7], la soluzione sarebbe richiedere verifica dell’età per determinate query su un motore di ricerca? X/Twitter permette tranquillamente foto e video di nudo, anche questa piattaforma deve essere soggetta a tale misura?

In un mondo ideale nessuno vorrebbe che dei minori (in particolare con età

Senza l’ausilio di mezzi termini, dobbiamo accettare che se un minore vuole accedere a contenuti pornografici lo farà a discapito delle barriere imposte. Allo stesso modo bisogna capire che la pornografia offerta come esperienza ludica può essere sicuramente origine di diversi problemi sulla persona ma i danni sono estremamente minori di altri metodi di condivisione di materiale.

Il rischio di avere un aumento di pubblico in ambienti dove il revenge porn è sdoganato, lo scambio di materiale tra diversi utenti incensurato e un controllo assente di questo tipo di contenuti è relativamente maggiore di un uso svogliato sui siti porno tradizionali e questa misura porterà solamente a una maggiore frequentazione di aree molto opache. Non solo non è una misura efficace come pianificato dall’AGCOM ma potrebbe persino peggiorare la situazione avendo meno monitoraggio, e quindi meno controllo, sul fenomeno.

Avendo questa base possiamo proseguire con il prossimo punto ovvero sulla proporzionalità. Fino a che punto possiamo modificare libertà altrui per la tutela di un sottoinsieme di utenti online?

Il solo porre questa domanda può far sembrare una persona come insensibile agli occhi altrui quando in realtà è segno di pragmaticità unito al bilanciamento di costi-benefici. È necessario analizzare il problema in maniera fredda senza scadere in un semplice “ed i bambini?” creando una “plot armor” senza una vera e propria argomentazione.

In primo luogo si può facilmente risalire a diversi tentativi della politica nel portare misure simili anche al di fuori di siti pornografici o di gambling (ne abbiamo discusso in un articolo precedente [8]) mettendo a dura prova il principio di carità con la quale abbiamo iniziato l’articolo. Le motivazioni portate sono tra le piu’ varie ma si ricade sempre nella tutela dei minori o nel contrasto all’abuso dell’anonimato da parte di persone che performano hate speech su diversi canali social.

Qualsivoglia stato proponga questo tipo di regolamentazione crea un precedente che minaccia il libero uso di internet ampliando la possibilità di schedare e monitorare anche alle istituzioni governative rendendole di fatto parte all’interno del threat model di chi decide di valorizzare il proprio diritto alla privacy e/o anonimato. Uno stato Europeo dovrebbe tutelare tale diritto e non esserne nemico. Togliere anche solo parte di questo diritto non risolverà il problema dell’hate speech o del razzismo ma diminuirà l’accesso libero a determinati individui di interagire con parte della rete.

Tornando alla pornografia il discorso non si discosta di molto e non dobbiamo trovare una situazione nella quale qualcuno non vuole far sapere ad un ente terzo la sua frequentazione piu o meno assidua di siti per adulti, se un individuo vuole visitare determinati siti senza farlo sapere a qualche ente o persona questa sua volontà deve essere rispettata.

Per essere il piu’ schietti possibile il rispetto di questa volontà non può essere di fatto denigrata per negligenza da parte di chi dovrebbe davvero tutelare i minori. Non dimentichiamoci che la responsabilità diretta nel tutelare i minorenni a contenuti non adatti a loro (eg:/ pornografia e gioco d’azzardo) è del loro genitore/tutore. Se davvero il problema sta nella frequentazione continua di tali contenuti da parte di minorenni dobbiamo chiederci come sia possibile un’utilizzo incontrollato dell’internet.

Togliendo persone con un’età avanzata (>60 anni) oramai chiunque è a conoscenza della facilità nel reperire qualsivoglia video o immagine con un semplice motore di ricerca. Ma allo stesso tempo è anche oramai vero che tutti i dispositivi possono essere facilmente configurati per implementare misure di parental control che possono prevenire la visione di determinati contenuti (o al piu’ notificare il genitore contenuti inappropiati visionati sul dispositivo del figlio).

Alla luce dell’ovvio, perchè sembra un’oltraggio dare la giusta responsabilità a chi responsabile non lo è? In aggiunta, perchè mai la non adeguata preparazione (o totale/parziale disinteresse) da parte dei tutori dovrebbe risolversi con una misura come quella proposta da AGCOM?

Non c’è nessuna proporzionalità in questo. Uno stato non dovrebbe aderire alle responsabilità di un tutore andando a limitare libertà di tutti indiscriminatamente, specialmente se si tratta di privacy/anonimato in ambito internet. Il semplice fatto che sia necessario un documento di identità per poter accedere a qualsivoglia risorsa online è una limitazione (per chi non lo ha, non vuole cederlo o li viene rimossa la possibilità i accedere secondo le regole imposte da AGCOM) e come tale va ponderata con estrema attenzione e, sopratutto, adeguatamente giustificata prima di attuarla.

Come gia detto ad inizio sezione, si è consci dei rischi sull’utilizzo della pornografia dei minorenni e proprio alla luce di questo si richiede che vengano trovate soluzioni veramente efficaci andando a studiare il problema in maniera analitica sul perchè e sul come tali contenuti sono cosi liberamente accessibili ai piu’ giovani. Proprio per questo si dovrebbe chiedere di responsabilizzare i genitori in maniera adeguata e in caso di spiegarli come attuare in maniera pratica la tutela che viene richiesta per questo tipo di utenti.

È una soluzione “efficace” al 100%? Assolutamente no. È meglio delle misure che vanno a limitare diritti altrui? Lasciamo al lettore la risposta.

Lascia molto perplessi il tipo di comunicazione su questo tipo di regolamentazioni. Vengono vendute come la soluzione finale per la risoluzione di problemi che possono essere risolti in maniera (al piu’) sommaria con il solo appoggio della creazione di leggi. In parallelo si sta cercando di (ri)sdoganare l’argomentazione “se non hai nulla da nascondere non dovresti preoccuparti” (già adeguatamente analizzata in un articolo precedente [9]).

Tornando sul tecnico ci sono diversi aspetti della comunicazione AGCOM che dovrebbero come minimo essere chiariti se (proprio) si vuole attuare un meccanismo di age verification come quello proposto.

1. Non sono stati spiegati i processi e/o criteri per definire un ente terzo “certificato” e quindi valido per la verifica dell’età. Bisogna che vengano spiegati ai consumatori diversi aspetti quali la durata della retenzione dei dati (ed esattamente quali).
2. Il meccanismo “doppio-anonimato” è spiegato in maniera accettabile ma non è ben chiaro se un’istituzione o organo governativo può in qualunque maniera accertare se un determinato individuo ha ceduto la sua identità ad un “terzo ente certificato”.
3. Come verrà giudicata sufficente la sicurezza informatica di un “terzo ente certificato”? Sono previsti degli assesment (se si quali) da parte di enti nazionali (eg:/ ACN, AGCOM) o basterà la certificazione da aziende private? Inoltre tale requisito verrà controllato ad inervalli regolari o solamente prima di ricevere la “certificazione”. Data la natura dei dati si ritiene consono una spiegazione approfondita sul tema.
4. Perchè non è stato considerato un sistema di Age Verification direttamente sul device e come una misura che prevede di cedere la propria identità digitale a terzi sia stata considerata piu’ valida rispetto alle alternative.
5. Per verificare la pluralità di opinioni all’interno del processo di decisione, iniziato oramai nel 2024, ci si auspica di sapere quali sono stati i 13 soggetti che hanno partecipato alla consultazione pubblica.

Prima di lasciare questa sezione “calda” ci teniamo a precisare che nessuno vuole condannare i genitori/tutori di minori che sono entrati in contatto con materiale pornografico online, tutt’altro. Avere tale ruolo in un mondo digitalizzato ha le sue sfide che non vanno sottovalutate ma allo stesso tempo non vanno delegate ad altri soggetti. Purtroppo ricadere nei soliti luogi comuni senza avere un approccio proattivo che tenda almeno a mitigare o rendere difficile specifici comportamenti (sia subiti che attuati) su internet (eg:/ visione di materiale pornografico, hate speech, bullismo) risulta essere la maniera piu’ facile ma non piu’ efficace. È comprensibile come parte dell’utenza online trovi plausibile una misura simile ma chiediamo a questi ultimi di informarsi quali ripercussioni tali misure possano avere ad un livello piu’ ampio.

Non avendo una preparazione adeguata, siamo aperti ad ospitare (in qualsiasi forma) esperti nel settore che possano proporre diverse misure del problema e soprattutto di darli la giusta magnitudo senza destare un panico ingiustificato e che non limitino diritti fondamentali sulla quale si basa il sistema sociale della quale facciamo parte.

ProtectEU – Non esistono backdoor buone, non esistono backdoor cattive

Dopo questo breve zoom sul bel paese possiamo spostarci a livello macro, cosa succede in Unione Europea? Come detto in precedenza si è spesso parlato di GDPR ed AI Act cercando di regolamentare diverse realtà in ambito digitale a protezione dei cittadini di questa enorme comunità (e mercato economico). Come detto nell’introduzione, buona parte dell’attenzione dei cittadini appartenenti ai 27 membri dell’EU è stato il progetto ReArm Europe (o Readiness 2030), un progetto che mira ad aumentare la spesa militare dell’unione motivata principalmente dal conflitto Russo-Ucraino che compie oramai piu’ di 3 anni.

Al di fuori delle minacce esterne l”EU sta sviluppando diverse misure per la protezione interna da diverse realtà criminali di rilevanza secondo l’EU.
fonte European Commission
Dopo diverse istanze e discussioni parlamentari, la commissione europea ha annunciato una road-map ad hoc per aumentare la protezione, mitigazione e contrasto di minacce interne su diversi livelli. tale progetto è stato denominato “ProtectEU – the European Internal Security Strategy” [10] con la sua prima apparizione pubblica tramite un documento pubblicato il 1 Aprile 2025.

Dopo aver letto il documento, le FAQ allegate [11] e le dichiarazioni di Henna Virkkunen (Executive Vice-President for Tech Sovereignty, Security and Democracy) sul tema [12] abbiamo diverse perplessità da mostrare al nostro pubblico riguardo alla crittografia e accesso da parte delle forze dell’ordine ad informazioni cifrate.

Iniziamo con il cosa ha destato perplessità nello specifico. All’interno del documento (fonte 10) abbiamo diverse affermazioni sugli obbiettivi a riguardo tra cui:

1. […] The Commission will present in the first half of 2025 a roadmap setting out the legal and practical measures it proposes to take to ensure lawful and effective access to data. In the follow-up to this Roadmap, the Commission will prioritise an assessment of the impact of data retention rules at EU level and the preparation of a Technology Roadmap on encryption, to identify and assess technological solutions that would enable law enforcement authorities to access encrypted data in a lawful manner, safeguarding cybersecurity and fundamental rights.
2. present a Technology Roadmap on encryption to identify and assess technological solutions to enable lawful access to data by law enforcement authorities in 2026.
3. Around 85% of criminal investigations now rely on law enforcement authorities’ ability to access digital information.

Il messaggio è abbastanza chiaro, l’EU vuole attuare de-facto una backdoor alle diverse tecnologie che offrono canali crittografici ai loro utenti con una promessa di mantenere integra la sicurezza dei cittadini. Per iniziare partiamo dal punto 3 della lista soprastante riguardo a quel 85% citato anche dalla stessa Henna Virkkunen. Non è stato ben chiarito come si è arrivato a tale percentuale ma la fonte citata nel documento riporta ad un ulteriore documento (2019) intitolato “Recommendation for a COUNCIL DECISION authorising the opening of negotiations in view of an agreement between the European Union and the United States of America on cross-border access to electronic evidence for judicial cooperation in criminal matters” [13] dove viene semplicemente presentato il dato ma con un ulteriore dettaglio.

More than half of all criminal investigations today require access to cross-border electronic evidence. Electronic evidence is needed in around 85% of criminal investigations, and in two-thirds of these investigations there is a need to obtain evidence from online service providers based in another jurisdiction.

Facendo breve ricerche si può trovare un “Working Document” datato 2018 sempre riguardo le evidenze digitali, il dato si basa sulle richieste di accesso a stati non EU, questo rende l’affermazione “[…] 85% delle investigazioni richiede accesso alle evidenze digitali” molto fuorviante e poco “onesto” da parte di una istituzione come la commisione europea. Piu’ nel dettaglio riguarda specificamente richieste di tipo giudiziaro (“judicial”) dove il 25% sono effettivamente richieste negate ed il 45% di una mancanza di conferma in maniera tempestiva.

Non si tratta di semplice pignoleria ma di una richiesta di offrire le informazioni in maniera corretta al fine di evitare di “forzare” i dati per giustificare qualsivoglia misura. Nello stesso documento si evince l’85% delle investigazoni che necessitano (in maniera rilevante) accesso a evidenze digitali ma solamente di investigazioni cross-border (fuori dai confini) dove nel 65% dei casi è necessario di una richiesta ad accesso ai dati.

È quindi inspiegabile delle dichiarazioni di Henna Virkkunen e chi ha redatto le FAQ riguardo ProtectEU.

Inoltre tali numeri sono inflazionati da 3 stati dell’EU che formano il 75% delle richieste totali : UK, Francia e Germania. In aggiunta il 70% delle richieste totali sono state inviate a Google e Meta (all’epoca Facebook).

Nel documento citato si possono trovare le diverse tabelle per ogni stato in maniera tale da potersi fare un’idea dei numeri “crudi”, l’unica pecca è che non sono diversificate le richieste all’interno ed all’esterno dei confini EU o degli stati singoli. Inoltre bisognerebbe approfondire come sono state svolte le richieste e/o se erano presenti adeguate prove a motivare l’accesso ai dati ma anche assumendo tali richieste siano 100% motivate le affermazioni rimangono fuorvianti.

Al di là delle dichiarazioni e delle diverse percentuali mostrate cerchiam di ragionare sul fulcro del discorso: accesso da parte delle forze dell’ordine a dati cifrati. Che esse siano comunicazioni, backup di dati o metadati (molto sottovalutati, non tutti hanno chiaro il concetto del “We kill based on metadata” [14]) l’EU sta programmando di dare accesso in chiaro tenendo conto degli aspetti legislativi e di sicurezza.

La base delle diverse argomentazioni contro tale misura si basano fondamentalmene su 2 precisi aspetti :

• Backdoored encryption is NOT Encryption = La base della crittografia è mantenere l’accesso delle informazioni solamente a 1 o piu’ parti by design. Se un terzo attore ha la capacità di poter rompere la segretezza delle informazioni volutamente protette non si sta piu’ parlando di crittografia.
• Una backdoor è semplicemente una backdoor = In qualunque maniera venga presentata la aggiunta di una backdoor non cambia la natura dello strumento : accesso libero senza la necessità di informare il proprietario dei dati. Non si tratta solamente dell’oramai inflazionato “uno strumento viene definito dal suo uso” ma di una aggiunta di un canale che mette a rischio la sicurezza degli utenti. A quanto pare abbiamo ancora molto da imparare dal breach dei sistemi CALEA degli US da parte di APT cinesi [15]. Per proteggersi dalle minacce bisogna comprendere che creare delle finestre di accesso come queste aumenta il rischio e non il contrario.

L’EU deve assolutamente confrontarsi con la community della sicurezza informatica in Europa per poter comprendere fino in fondo perchè tale misura non è una buona idea. La crittografia non è negoziabile, 39 organizzazioni e 43 esperti hanno pubblicato una lettera aperta alla Commissione Europea a riguardo [16] e ci auguriamo che venga ascoltati adeguatamente se davvero si vuole valutare la sicurezza dei cittadini.

Assumendo il principio di carità anche in questo caso, i governi cambiano e con loro anche l’utilizzo dei diversi strumenti presenti in precedenza. Come la Russia è cambiata[17], come l’USA sta cambiando [18][19] anche l’Europa può cambiare e non possiamo permettere che in tali scenari un qualsasi governo o corpo politico abbia la possibilità di rompere la crittografia dei cittadini. Dobbiamo porre molta attenzione alle cattive intenzioni ma ancora di piu’ a chi a tali misure presentate con le migliori intenzioni.

Ovviamente la domanda (lecita) piu’ comune sarà : quale è l’alternativa per contrastare chi effetua crimini con il supporto della crittografia?

Per rispondere, nei limiti delle nostre conoscenze, è importante sottolineare come non esistano silver bullets (no, neanche una backdoor governativa può fermare diversi abusi perpetuati online), ciò richiede implicitamente sforzi combinati tra diverse specializzazioni ed un potenziamento delle forze dell’ordine sotto diversi aspetti (fortunatamente, ProtectEU prevede il potenziamento dell’Europol).

• Studio e monitoraggio dei metadati = Con le giuste capacità e raccolta di questo tipo di informazioni è possibile tracciare l’origine di diversi abusi senza la necessità di rompere la crittografia.
• E2E User Reporting = Sono diversi gli studi che esplorano diversi strumenti che possono essere utili nel reportare utenti fraudolenti in ambienti End2End Encrypted. Tra questi il paper CDT intitolato “Approaches to Content Moderation in End-to-End Encrypted Systems” [20] offre diverse possibilità pratiche a riguardo. Ciò che è necessario è (1) creare uno schema legislativo adatto per far si che i provider e le forze dell’ordine riescano ad investigare partendo dai report degli utenti e (2) trovare misure per incentivare gli utenti a reportare quando necessario.
• Fully Homomorphic Encryption [21][22] = Questo tipo di crittografia permette di eseguire analisi di dati criptati senza la necessità di avere accesso al plaintext. Una tecnologia a tratti sorprendente ma che non ha ricevuto la giusta attenzione dai policy maker. Bisogna supportare la ricerca a riguardo e spingere i diversi service provider e forze dell’ordine ad adottare questo tipo di crittografia.

Ovviamente le proposte di cui sopra (che non sono le uniche ne tantomeno le migliori) richiedono risorse e training da parte di tutti gli attori coinvolti e si potrebbe contro argomentare che una backdoor “legale” sia piu’ ecnomica e “facile” da usare. A questo non c’è una soluzione e l’unica cosa che si può controbattere è che la sicurezza, la privacy e la libertà hanno un costo che deve essere preso a carico (senza scorciatoie) dalle istituzioni che devono tutelare tutti e 3 questi aspetti della società.

Per chi avesse sufficente conoscenza delle scelte in ambito EU sul tema crittografia si ricorderà sicuramente la proposta di legge etichettata come “Chat Control”[23] che dava non solo accesso a comunicazioni cifrate ma permetteva la scansione di queste. La motivazione principale portata sul tavolo della commissione era la protezione dei minori online aumentando la capacità di individuare materiale pedopornografico. Molte realtà responsabili per la tutela della privacy hanno espresso la loro forte opposizione alla proposta [24][25] (a onor del vero anche un numero non indifferente di parlamentari EU hanno fatto lo stesso [26]), alla fine la proposta non ha ricevuto la maggioranza risultando in un nulla di fatto.

Questa specifica parte di ProtectEU è sostanzialmente la stessa proposta ma con un vestito diverso portando l’attenzione sul crimine piuttosto che su prevenzione di divulgazione di materiale CSAM. Tale comportamento mette a dura prova il principio di carità con la quale abbiamo introdotto l’articolo, le contro-argomentazioni a Chat Control non differiscono di molto su quelle di ProtectEU ed è quindi difficile capire come mai un’istituzione di alto livello possa ricadere nello stesso errore due volte.

La Commissione Europea sta continuando a tentare di ottenere accesso a dati crittografati nonostante le diverse discussione avute sul tema, in futuro non ci sarà da stupirsi di un ennesimo tentativo nel rompere la crittografia all’interno del territorio EU.

EU CryptoBan – Le sfide si devono affrontare, non nascondere

Rimaniamo sempre in ambito EU ma questa volta lasciamo la crittografia E2E da parte e facciamo entrare nella discussione le critpovalute, in particolare quelle fortemente orientate all’anonimato come ZCash e, il piu’ conosciuto, Monero. Tale decisione ha origine dal regolamento 2024/1624 [26].

L’EU ha deciso che dal 1 Luglio 2027 [27] verrà redatto un regolamento Anti-Riciclaggio in ambito Europeo (Anti-Money Laundering Regulation) dove tra i punti focali abbiamo :

1. Richiesta di processi (full) KYC per ogni singolo utente presente su una piattaforma crypto e per transazioni superiori a €1000.
2. Creazione di una nuova autorità AMLA (Anti-Money Laundering Authority) responsabile per il mantenimento e rispetto di tale regolamento (già 40 servizi crypto sono stati riconosciuti dall’UE che dovranno adattarsi a tale regolamento).
3. Ban di tutte le criptovalute che offrono anonimato alle transazioni degli utenti che dovranno essere delistate da tutti i provider.

A discapito degli altri punti, in questa sede ci focalizzeremo sul punto (3). Ovviamente il problema che si vuole cercare di affrontare è quello dei mercati illeciti (eg:/ droga, estorsione, vendita di illeciti) che si appoggiano a tali criptovalute per nascondere le transazioni e mettere in difficoltà eventuali indagini. Non solo l’acquisto di queste crypto verrà disincentivato ma anche mixers ed altri tool di anonimato che rientrano nella DeFi (Decentralized Finance).

Importante sottolineare che la custodia privata delle valute come Monero non verrà resa illegale ma viene creato un paradosso. Per poter eseguire transazioni sopra spiegate viene reso necessario mostrare la propria identità rendendo inutile l’utilizzo di tale criptovaluta. In breve alla base della regolamentazione è di rendere il piu’ tracciabile possibile ogni singola transazione blockchain all’interno dei confini EU.

Chiediamo venia al lettore se non entreremo nelle specifiche tecniche che permettono di mitigare la tracciabilità delle transazioni Monero, Dash o ZCash. Per mantenere il focus dell’articolo chiediamo, a chi non abbia abbastanza conoscenza a riguardo, di focalizzarsi sul fatto in se.

Uno dei paper piu’ visionari in ambito sicurezza informatica è stato redatto da Adam Young e Moti Yung chiamato “Cryptovirology – Extortion-Based Security Threats and Countermeasures” [28] (1996) la quale proponeva diverse analisi su come la crittografia potesse creare danni oltre che anonimato e/o privacy. In questo paper abbiamo diverse previsioni come l’estorsione tramite crittografia (ransomware) e l’utilizzo di criptovalute per poter monetizzare.

Il concetto di Young e Yung è divenuto una realtà tangibile, ad oggi il mondo ransomware e quello dei dark-markets sono dei veri e propri fenomeni caratterizzati da una forte persistenza motivata dalle ingenti somme che circolano al loro interno. La parola “persistenza” deve essere il pivot del discorso, il mondo criminale nasce sotto determinati requisiti piu’ o meno incentivanti ma allo stesso modo agisce con lungimiranza e preparazione.

Visto che sono stati citati diverse volte sia il mondo ransomware che quello dei dark-markets come fattori rilevanti alla necessità di queste regolamentazioni (sia da politici che dalla opinione pubblica), possiamo portare la nostra attenzione qui prima di muoverci sull’impatto che questo tipo di regolamentazione potrà avere sugli utenti.

Le criptovalute sono un’opzione di pagamento non la causa dei diversi crimini in questione ed anche solo immaginare che “tagliare” (parte di) queste opzioni risolva il problema è sintomo di un modo di pensare pericolosamente naive e semplicistico. Nel caso del mondo ransomware un approccio pro-attivo alla sicurezza informatico (sia livello macro che locale) è la vera soluzione. In ambito dark markets un potenziamento delle forze dell’ordine, un ampliamento delle collaborazioni tra i divers stati, training continuo e uno sviluppo di diversi strumenti di tracciamento è la chiave per poter contrastare tale fenomeno.

Vogliamo contrastare tali crimini? Focalizziamoci sulle cause e non offriamo alle minacce la possibilità di rendere realtà l’ipotesi delle “dark stablecoins” [29] dove si avrà meno raggio d’azione potenziando le capacità di tali attori. Ancora una volta le buone intenzioni possono portare a conseguenze irriversibili e auto-sabotanti.

Lo studio “Cryptocurrencies and drugs: Analysis of cryptocurrency use on darknet markets in the EU and neighbouring countries” (2023) [30] portato avanti da EUDA (European union Drugs Agency) ha mostrato come, tra le nazioni coinvolte, il ban delle criptovalute non ha risolto in nessuna maniera le attività dei dark markets.

Eight of the 54 countries (~15 %) in the sample have outright bans on cryptocurrencies, yet
engagement with DNM continues in these locations, particularly among those in the EU’s
Southern Neighbourhood.

Metodi di pagamento alternativi esistono già e vengono usate in questi ambienti per il riciclaggio di denaro sia per i gruppi RaaS che per il mondo dei dark markets. Inoltre risulta estremente difficile eseguire un vero e proprio ban su qualsivoglia crypto disponibile, gli exchanger peer2peer esistono e continuano ad essere usati rendendo difficile l’implementazione di processi KYC. In breve, anche se fosse la giusta strada, è troppo tardi per bannare anche parte di questa tecnologia.

Le alternative nasceranno sicuramente (eg:/ exchanger illeciti, voucher, gift cards, acquisto di asset controllati dalle minacce, cash via posta) ed avremo nuovi sintomi la quale renderà piu’ difficile le operzioni di contrasto e dove sicuramente dei ban non saranno cosi’ semplici da attuare (in maniera democratica). Nuovamente vendere queste soluzioni come l’argento per sconfingere Dracula è molto pericoloso, bisogna focalizzarsi sulle cause non sui sintomi.

La privacy e l’anonimato passano anche per le finanze e gli acquisti che un individuo vuole eseguire online, tale processo può essere eseguito in diversi modi non solo con le criptovalute. Mullvad [31] stesso consiglia ai suoi clienti di pagare in contanti per via postale rimanendo anonimi il piu’ possibile, se si vuole dare tracciabilità al 100% per mitigare le finanze illecite allora dovremmo vietare il contante?

La DeFi ha il suo valore nel mondo privacy/anonimato e come tale non va vietata a priori, il founder di Ethereum ha ammesso di aver utilizzato il mixer Tornado Cash [32] per fare donazioni all’Ucraina. Tale esempio è focale su come, anche se si è localizzati in uno stato favorevole, il diritto alla privacy deve essere preservato senza discriminazioni.

Wanting to donate to Ukraine is a great example of a valid need for financial privacy: even if the government where you live is in full support, you might not want Russian government to have full details of your actions.
— Jeff Coleman | Jeff.eth (@technocrypto) August 9, 2022

L’impatto che tale decisione avrà su questo tipo di utenti potrà rilevarsi irreversibile, nuovamente l’UE mostra ottusità nel contrasto del crimine. Questa incapacità di trovare soluzioni nuove e di evitare manovre semplici per fenomeni complessi è un grave segnale della direzione presa dalla commissione e di chi la rappresenta. Bisogna ristabilire un ambiente dove ogni decisione deve essere (1) soppesata in maniera adeguata, (2) presentata in maniera corretta e (3) basata con studio ed occhio empirico lasciando da parte asserzioni forvianti.

Considerazioni Finali – Investimenti, sensibilità ed empatia

I bassi investimenti in R&D dell’EU rispetto al resto del mondo [33][34][35] (portate da diverse cause che non copriremo in questa sede) hanno reso l’ambiente interno ai confini non adatto alle sfide moderne (non solo in ambito sicurezza ma anche economico e militare). La necessità di investire in ricerca, potenziare le forze dell’ordine e selezionare approcci efficacci si fa sentire piu’ che mai e sta portando a scelte politiche rischiose della quale potremo pagarne il prezzo in un futuro non troppo lontano.

Al di fuori di ciò si vuole sottolineare al come tali propost vengono presentate facendo leva su argomenti sensibili (tutela dei minori, utilizzo criminali di diverse tecnologie, tutela degli utenti online da diversi abusi) sfruttando la cosidetta weaponized empathy [36]. Questo approccio è una sfida (tra le tante) per gli ambienti democratici e non ha la giusta importanza nell’opinione pubblica. Tramite l’utilizzo dell’emapatia/emozioni/sensibilità si può convincere un pubblico di cose [37] false o portarli a supportare decisioni non adatte ai problemi posti.

L’opinione pubblica è certamente divisa quando si tratta di proposte sull’inserimento di identità digitali per social media o internet in generale, il che è lecito. Ciò che sorprene è la mancanza di argomentazioni pragmatiche sui pro e contro su chi vorrebbe tale proposta venga attivata. No, dire che se non hai nulla da nascondere non è una argomentazione. Affermare che la scelta di AGCOM tuteli i minori nemmeno. E neanche asserire che valute come Monero vengano usate solamente da criminali e che per questo debbano essere vietate.

Chiunque è responsabile di scegliere se mantenere la propria privacy online (e a che intensità) ma nessuno deve poter permettersi di limitare tale libertà. Se la sensibilità vale per una sponda deve essere giustificata anche dall’altra allo stesso modo.

Si parla spesso di introdurre una qualche forma di educazione sentimentale all’interno delle scuole col fine di evitare esperienze spiacevoli che si sono riscontrate all’interno di diverse comunità. Al di là di come la si pensi sul tema sarebbe interessante presentare tale proposta anche come misura (anche) per poter “rafforzare” le persone e renderle piu’ resilienti quando esposte a diversi segnali (tra cui weaponized empathy)? Quando tali proposte vengono annunciate è presente un clima basato per la maggior parte sulla emotività e su affermazioni di senso comune (“i minori vanno tutelati online”) senza dimostrazioni sulla efficacia cosi tanto richiesta.

Lavorare su questo aspetto sarà d’aiuto non solo in questi casi ma anche per fenomeni come la disinformazione o truffe che fanno leva sulla sensibilita’ altrui. Online le minacce ci sono e se si decide di accederci è necessario farlo con la giusta preparazione e conoscenza.

La sicurezza si ottiene anche grazie alla resilienza. Per ottenere resilienza bisogna uscire da zone di comfort ed entrare in contatto con la realtà dei fatti senza edulcorarla e questo richiede di rivalutare alcune posizioni che prima si consideravano “sacre”.

L'articolo L’Anonimato Digitale In Pericolo! Cosa Sta Decidendo l’Unione Europea? proviene da il blog della sicurezza informatica.

Google ha rilasciato aggiornamenti mensili per Android che risolvono 46 vulnerabilità. Uno di questi problemi è già stato sfruttato dagli aggressori e comporta l’esecuzione di codice arbitrario nella libreria FreeType.

Alla vulnerabilità sotto attacco è stato assegnato l’identificatore CVE-2025-27363 (punteggio CVSS 8.1) e rappresenta un problema nel componente di sistema che potrebbe causare l’esecuzione di codice locale senza richiedere privilegi aggiuntivi. Per sfruttare il bug non è richiesta alcuna interazione da parte dell’utente.

La causa principale del problema CVE-2025-27363 risiede nella libreria di rendering dei font open source FreeType e il bug è stato segnalato per la prima volta a marzo 2025. All’epoca, gli esperti spiegarono che la vulnerabilità era pericolosa per tutte le versioni di FreeType fino alla 2.13 ed era già stata sfruttata in attacchi.

“È stato riscontrato un problema di scrittura fuori limite nelle versioni di FreeType precedenti alla 2.13.0 quando si tentava di analizzare le strutture dei sottoglifi dei font associati ai file TrueType GX e dei font variabili”, hanno scritto i ricercatori. — Il codice vulnerabile assegna un valore short con segno a un valore long senza segno e poi aggiunge un valore statico, che provoca un overflow e l’allocazione di un buffer troppo piccolo nell’heap. Il codice scrive quindi fino a sei numeri interi lunghi con segno, estendendosi oltre i limiti di questo buffer. Ciò potrebbe portare all’esecuzione di codice arbitrario.”

Come riporta ora Google, la vulnerabilità potrebbe effettivamente essere soggetta a “sfruttamento limitato e mirato”. L’azienda non ha ancora diffuso dettagli su questi attacchi.

Altre vulnerabilità risolte da Google questo mese includono problemi in Framework, System, Google Play e nel kernel Android, nonché bug di sicurezza nei componenti proprietari di MediaTek, Qualcomm, Arm e Imagination Technologies. La maggior parte di essi sono correlati all’escalation dei privilegi.

L'articolo Aggiornamenti Android: corretta una grave falla già sfruttata, ecco cosa rischi proviene da il blog della sicurezza informatica.

When you think of Singer, you usually think of sewing machines, although if you are a history buff, you might remember they diversified into calculators, flight simulation, and a few other odd businesses for a while. [Techmoan] has an unusual device from Singer that is decidedly not a sewing machine. It is a 1970s-era multimedia briefcase called the Audio Study Mate. This odd beast, as you can see in the video below, was a cassette player that also included a 35mm filmstrip viewer. Multimedia 1970s-style!

The film strip viewer is a bright light and a glass screen with some optics. You have to focus the image, and then a button moves the film one frame. However, that’s for manual mode. However, the tape could encode a signal to automatically advance the frame. That didn’t work right away.

Luckily, that required a teardown of the unit to investigate. Inside was a lot of vintage tech, and at some point, the auto advance started working somewhat. It never fully worked, but for a decades-old electromechanical device, it did pretty well.

We do, sometimes, miss what you could pull off with 35mm film.

youtube.com/embed/d38vzTbevAg?…

hackaday.com/2025/05/15/not-a-…

As with all aging bodies, clogged tubes form an increasing issue. So too with the 47-year old Voyager 1 spacecraft and its hydrazine thrusters. Over the decades silicon dioxide from an aging rubber diaphragm in the fuel tank has been depositing on the inside of fuel tubes. By switching between primary, backup and trajectory thrusters the Voyager team has been managing this issue and kept the spacecraft oriented towards Earth. Now this team has performed another amazing feat by reviving the primary thrusters that had been deemed a loss since a heater failure back in 2004.

Unlike the backup thrusters, the trajectory thrusters do not provide roll control, so reviving the primary thrusters would buy the mission a precious Plan B if the backup thrusters were to fail. Back in 2004 engineers had determined that the heater failure was likely unfixable, but over twenty years later the team was willing to give it another shot. Analyzing the original failure data indicated that a glitch in the heater control circuit was likely to blame, so they might actually still work fine.

To test this theory, the team remotely jiggled the heater controls, enabled the primary thrusters and waited for the spacecraft’s star tracker to drift off course so that the thrusters would be engaged by the board computer. Making this extra exciting was scheduled maintenance on the Deep Space Network coming up in a matter of weeks, which would troubleshooting impossible for months.

To their relief the changes appears to have worked, with the heaters clearly working again, as are the primary thrusters. With this fix in place, it seems that Voyager 1 will be with us for a while longer, even as we face the inevitable end to the amazing Voyager program.

hackaday.com/2025/05/15/voyage…

The drivetrain of most modern bicycles has remained relatively unchanged for nearly a century. There have been marginal upgrades here and there like electronic shifting but you’ll still mostly see a chain with a derailleur or two. [Matthew] is taking a swing at a major upgrade to this system by replacing the front derailleur with a torque converter, essentially adding an automatic transmission to his bicycle.

Most of us will come across a torque converter in passenger vehicles with automatic transmissions, but these use fluid coupling. [Matthew] has come up with a clever design that uses mechanical coupling instead using a ratchet and pawl mechanism. There are two gear ratios here, a 1:1 ratio like a normal bicycle crank and a 1.5:1 ratio that is automatically engaged if enough torque is applied to the pedals. This means that if a cyclist encounters a hill, the gear automatically shifts down to an easier gear and then will shift back once the strenuous section is finished.

[Matthew] machined all the parts for this build from scratch, and the heavy-duty solid metal parts are both impressive but also show why drivetrains like this haven’t caught on in the larger bicycling world since they’re so heavy. There have been some upgrades in internally geared hubs lately though, which do have a number advantages over traditional chain and derailleur-based bikes with the notable downside of high cost, and there have been some other interesting developments as well like this folding mechanical drivetrain and this all-electric one.

youtube.com/embed/cMhvfIiR5gs?…

Thanks to [Keith] for the tip!

hackaday.com/2025/05/15/automa…

Once a printed circuit board (PCB) has been assembled it’s rather hard to look inside of it, which can be problematic when you have e.g. a multilayer PCB of an (old) system that you really would like to dissect to take a look at the copper layers and other details that may be hidden inside, such as Easter eggs on inner layers. [Lorentio Brodeso]’s ‘LACED’ project offers one such method, using both chemical etching and a 5 Watt diode engraving laser to remove the soldermask, copper and FR4 fiberglass layers.

This project uses sodium hydroxide (NaOH) to dissolve the solder mask, followed by hydrogen chloride (HCl) and hydrogen peroxide (H₂O₂) to dissolve the copper in each layer. The engraving laser is used for the removing of the FR4 material. Despite the ‘LACED’ acronym standing for Laser-Controlled Etching and Delayering, the chemical method(s) and laser steps are performed independently from each other.

This makes it in a way a variation on the more traditional CNC-based method, as demonstrated by [mikeselectricstuff] (as shown in the top image) back in 2016, alongside the detailed setup video of how a multi-layer PCB was peeled back with enough resolution to make out each successive copper and fiberglass layer.

The term ‘laser-assisted etching’ is generally used for e.g. glass etching with HF or KOH in combination with a femtosecond laser to realize high-resolution optical features, ‘selective laser etching’ where the etchant is assisted by the laser-affected material, or the related laser-induced etching of hard & brittle materials. Beyond these there is a whole world of laser-induced or laser-activated etching or functionalized methods, all of which require that the chemical- and laser-based steps are used in unison.

Aside from this, the use of chemicals to etch away soldermask and copper does of course leave one with a similar messy clean-up as when etching new PCBs, but it can provide more control due to the selective etching, as a CNC’s carbide bit will just as happily chew through FR4 as copper. When reverse-engineering a PCB you will have to pick whatever method works best for you.

Top image: Exposed inner copper on multilayer PCB. (Credit: mikeselectricstuff, YouTube)

hackaday.com/2025/05/15/laced-…

Metalized Mylar “space blankets” are sold as a survivalist’s accessory, primarily due to their propensity for reflecting heat. They’re pretty cheap, and [HamJazz] has performed some experiments on their RF properties. Do they reflect radio waves as well as they reflect heat? As it turns out, yes they do.

Any antenna system that’s more than a simple radiator relies on using conductive components as reflectors. These can either be antenna elements, or the surrounding ground acting as an approximation to a conductor. Radio amateurs will often use wires laid on the ground or buried within it to improve its RF conductivity, and it’s in this function that he’s using the Mylar sheet. Connection to the metalized layer is made with a magnet and some aluminium tape, and the sheet is strung up from a line at an angle. It’s a solution for higher frequencies only due to the restricted size of the thing, but it’s certainly interesting enough to merit further experimentation.

As you can see in the video below, his results are derived in a rough and ready manner with a field strength meter. But they certainly show a much stronger field on one side resulting from the Mylar, and also in an antenna that tunes well. We would be interested to conduct a received signal strength test over a much greater distance rather than a high-level field strength test so close to the antenna, but it’s interesting to have a use for a space blanket that’s more than just keeping the sun away from your tent at a hacker camp. Perhaps it could even form a parabolic antenna.

youtube.com/embed/X1sDYBe5wY0?…

Thanks [Fl.xy] for the tip!

hackaday.com/2025/05/15/mylar-…

Last time we talked about how the original PC has a limit of 640 kB for your programs and 1 MB in total. But of course those restrictions chafed. People demanded more memory, and there were workarounds to provide it.

However, the workarounds were made to primarily work with the old 8088 CPU. Expanded memory (EMS) swapped pages of memory into page frames that lived above the 640 kB line (but below 1 MB). The system would work with newer CPUs, but those newer CPUs could already address more memory. That led to new standards, workarounds, and even a classic hack.

XMS

If you had an 80286 or above, you might be better off using extended memory (XMS). This took advantage of the fact that the CPU could address more memory. You didn’t need a special board to load 4MB of RAM into an 80286-based PC. You just couldn’t get to with MSDOS. In particular, the memory above 1 MB was — in theory — inaccessible to real-mode programs like MSDOS.

Well, that’s not strictly true in two cases. One, you’ll see in a minute. The other case is because of the overlapping memory segments on an 8088, or in real mode on later processors. Address FFFF:000F was the top of the 1 MB range.

PCs with more than 20 bits of address space ran into problems since some programs “knew” that memory access above that would wrap around. That is FFFF:0010, on an 8088, is the same as 0000:0000. They would block A20, the 21st address bit, by default. However, you could turn that block off in software, although exactly how that worked varied by the type of motherboard — yet another complication.

XMS allowed MSDOS programs to allocate and free blocks of memory that were above the 1 MB line and map them into that special area above FFFF:0010, the so-called high memory area (HMA).
The 640 kB user area, 384 kB system area, and almost 64 kB of HMA in a PC (80286 or above)
Because of its transient nature, XMS wasn’t very useful for code, but it was a way to store data. If you weren’t using it, you could load some TSRs into the HMA to prevent taking memory from MSDOS.

Protected Mode Hacks

There is another way to access memory above the 1 MB line: protected mode. In protected mode, you still have a segment and an offset, but the segment is just an index into a table that tells you where the segment is and how big it is. The offset is just an offset into the segment. So by setting up the segment table, you can access any memory you like. You can even set up a segment that starts at zero and is as big as all the memory you can have.
A protected mode segment table entry
You can use segments like that in a lot of different ways, but many modern operating systems do set them up very simply. All segments start at address 0 and then go up to the top of user memory. Modern processors, 80386s and up, have a page table mechanism that lets you do many things that segments were meant to do in a more efficient way.

However, MS-DOS can’t deal with any of that directly. There were many schemes that would switch to protected mode to deal with upper memory using EMS or XMS and then switch back to real mode.

Unfortunately, switching back to real mode was expensive because, typically, you had to set a bit in non-volatile memory and reboot the computer! On boot, the BIOS would notice that you weren’t really rebooting and put you back where you were in real mode. Quite a kludge!

There was a better way to run MSDOS in protected mode called Virtual86 mode. However, that was complex to manage and required many instructions to run in an emulated mode, which wasn’t great for performance. It did, however, avoid the real mode switch penalty as you tried to access other memory.

Unreal Mode

In true hacker fashion, several of us figured out something that later became known as Unreal Mode. In the CPU documentation, they caution you that before switching to real mode, you need to set all the segment tables to reflect what a segment in real mode looks like. Obviously, you have to think, “What if I don’t?”

Well, if you don’t, then your segments can be as big as you like. Turns out, apparently, some people knew about this even though it was undocumented and perhaps under a non-disclosure agreement. [Michal Necasek] has a great history about the people who independently discovered it, or at least, the ones who talked about it publicly.

The method was doomed, though, because of Windows. Windows ran in protected mode and did its own messing with the segment registers. If you wanted to play with that, you needed a different scheme, but that’s another story.

Modern Times

These days, we don’t even use video cards with a paltry 1 MB or even 100 MB of memory! Your PC can adroitly handle tremendous amounts of memory. I’m writing this on a machine with 64 GB of physical memory. Even my smallest laptop has 8 GB and at least one of the bigger ones has more.

Then there’s virtual memory, and if you have solid state disk drives, that’s probably faster than the old PC’s memory, even though today it is considered slow.

Modern memory systems almost don’t resemble these old systems even though we abstract them to pretend they do. Your processor really runs out of cache memory. The memory system probably manages several levels of cache. It fills the cache from the actual RAM and fills that from the paging device. Each program can have a totally different view of physical memory with its own idea of what physical memory is at any given address. It is a lot to keep track of.

Times change. EMS, XMS, and Unreal mode seemed perfectly normal in their day. It makes you wonder what things we take for granted today will be considered backward and antiquated in the coming decades.

hackaday.com/2025/05/15/rememb…

Un nuovo nome sta guadagnando rapidamente visibilità nei meandri del cybercrime underground: Machine1337, un attore malevolo attivo sul noto forum XSS[.]is, dove ha pubblicato una serie impressionante di presunte violazioni di dati ai danni di colossi tecnologici e piattaforme popolari, tra cui Microsoft, TikTok, Huawei, Steam, Temu, 888.es e altri ancora.

Il post shock: 4 milioni di account Office 365

Tra le inserzioni più eclatanti figura una pubblicazione che afferma di essere in possesso di 4 milioni di credenziali Microsoft Office 365 e Microsoft 365, vendute al prezzo di 5000 dollari. Nel post viene anche fornito un link per scaricare un campione da 1.000 record, una prassi comune nei mercati underground per “dimostrare” la genuinità del materiale in vendita. L’attore fornisce un contatto Telegram diretto e rimanda al suo canale ufficiale @Machine******. Il post è accompagnato da un’immagine che mostra il logo di Microsoft e frasi promozionali come:

🔥 DAILY LIVE SALES 🔥
📌 Premium Real-Time Phone Numbers for Sale
good luck! 🚀

Una retorica che mescola ironia, branding e un tono apparentemente professionale, tipico degli attori che cercano di affermarsi come “venditori affidabili” nel dark web.

Una raffica di violazioni: da TikTok a Huawei

Nelle ore successive alla pubblicazione dell’annuncio Microsoft, Machine1337 ha pubblicato altri post che dichiarano la compromissione di:

• Huawei – 129 milioni di record
• TikTok – 105 milioni di record
• Steam – 89 milioni di account, postato più volte con aggiornamenti
• Temu – 17 milioni di record
• 888.es – 13 milioni di record

Queste presunte violazioni sembrano essere parte di un’offensiva coordinata per dimostrare la “potenza” del threat actor e attrarre acquirenti nei suoi canali Telegram.

Identità e contatti: l’ecosistema Telegram

Machine1337 si presenta come un attore organizzato. Sul suo canale Telegram, pubblica anche un avviso importante per evitare impersonificazioni:

“Il mio unico contatto ufficiale è: @Energy************
Canale ufficiale: @Machine************
Fate attenzione ai fake. Non sono responsabile per problemi con impostori.”

In un altro messaggio consiglia di visitare un altro canale afferente ad un’altra community underground dove, secondo le sue parole, “real shit goes down there.”

Possibili implicazioni e autenticità

Sebbene la quantità di dati rivendicati sia impressionante, non è possibile confermare al 100% l’autenticità di ogni dump pubblicato, almeno fino a quando non emergono conferme da parte delle aziende coinvolte o da analisi indipendenti OSINT/DFIR.

Tuttavia, la mole e la frequenza degli annunci di Machine1337 suggeriscono o una reale disponibilità di fonti compromesse (es. broker di accesso iniziale, botnet di infostealer) o una manovra di disinformazione e marketing aggressivo per ottenere fondi da utenti del forum XSS.

Il 13 maggio è stato ufficialmente creato il canale Telegram Machine1337, punto centrale della comunicazione del threat actor omonimo. Nel messaggio di benvenuto, l’utente si presenta come Red Teamer, Penetration Tester e Offensive Security Researcher, specificando di essere attualmente impegnato nello studio dell’API Testing e dell’analisi di malware. Il tono è quello di un professionista della sicurezza informatica che si muove però su un doppio binario: da un lato competenze legittime, dall’altro attività chiaramente legate al cybercrime.

Nel canale vengono anche menzionate l’intenzione di collaborare a progetti open source e una sezione “Visitor Count”, in cui probabilmente si monitora l’attività degli utenti. Il canale stesso è legato a un gruppo di discussione (accessibile solo tramite richiesta) e offre una sottoscrizione a pagamento, presumibilmente per accedere ai contenuti premium o ai database completi.

La presenza su Telegram conferma ancora una volta come questo strumento sia uno degli hub preferiti dai threat actor per diffondere i propri contenuti e stabilire un canale diretto con potenziali acquirenti.

Conclusione

Machine1337 si inserisce in una nuova generazione di threat actors che non solo monetizzano i dati rubati, ma costruiscono vere e proprie strategie di branding e marketing per affermarsi nei circuiti del cybercrime.

Con vendite quotidiane pubblicizzate, dump multipli e una presenza su Telegram molto attiva, sarà fondamentale tenere sotto osservazione questa figura nei prossimi mesi.

L'articolo Machine1337: Il threat actor che rivendica l’accesso a 4 milioni di account Microsoft 365 proviene da il blog della sicurezza informatica.