Hacking, hacking, hacking! Al Pwn2Own non si scherza: è qui che l’élite mondiale della cybersicurezza mostra quanto sia fragile il mondo digitale. In palio? Fama, gloria… e più di un milione di dollari in premi per gli zero-day scoperti!

Nel primo giorno della competizione di hacking Pwn2Own Berlin 2025, i ricercatori sono riusciti a guadagnare 260.000 dollari dimostrando catene di vulnerabilità zero-day in Windows 11, Red Hat Linux e Oracle VirtualBox. Organizzato durante la conferenza OffensiveCon, il torneo di quest’anno si concentra sull’hacking delle tecnologie aziendali e include per la prima volta una categoria di attacchi basati sull’intelligenza artificiale.

Uno dei primi ad essere colpito è stato Red Hat Enterprise Linux for Workstations. Un membro del team di ricerca DEVCORE che utilizzava lo pseudonimo Pumpkin è riuscito a eseguire un’escalation di privilegi locali tramite un integer overflow e ha ricevuto 20.000 dollari per aver dimostrato l’exploit.

Hyunwoo Kim e Wonghee Lee hanno ottenuto risultati simili. Tuttavia, in questo tentativo, uno dei collegamenti si è rivelato essere una vulnerabilità nota (N-day), motivo per cui è stato considerato una “collisione” con un errore già documentato, piuttosto che una scoperta completa.

Anche Windows 11 è risultato vulnerabile. Chen Le Qi di STARLabs SG ha ricevuto 30.000 $ per aver aumentato con successo i privilegi a SYSTEM tramite una catena use-after-free e un integer overflow. Il sistema è stato compromesso altre due volte: Marcin Wiązowski ha sfruttato un bug di scrittura fuori limite e Hyunjin Choi ha dimostrato un attacco di type confusion.

Il Team Prison Break ha dato un contributo significativo all’ammontare delle ricompense. Sono riusciti a uscire dall’isolamento di Oracle VirtualBox e ad eseguire codice arbitrario sul sistema host utilizzando un integer overflow, guadagnando 40.000 dollari. Questa direzione è tradizionalmente considerata difficile, poiché richiede non solo il superamento della sandbox, ma anche un controllo affidabile dell’esecuzione sul sistema operativo sottostante.

Inoltre, il primo giorno di gara, sono stati hackerati degli strumenti di intelligenza artificiale. Sina Heirhach del Summoning Team ha ricevuto 35.000 dollari per aver sfruttato una vulnerabilità zero-day in Chroma e un bug noto in Nvidia Triton Inference Server. Billy e Ramdhan, membri di STARLabs SG, hanno impiegato 60.000 dollari per uscire da Docker Desktop ed eseguire codice sull’host sfruttando una vulnerabilità di tipo use-after-free.

Classifica TOP-5 del primo giorno di gara ( Trend Zero Day Initiative )

L’hackathon durerà fino al 17 maggio e il secondo giorno i partecipanti tenteranno di compromettere Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Oracle VirtualBox e Red Hat Linux. Tutti i prodotti vengono tenuti aggiornati, il che sottolinea l’importanza di ogni 0day che viene dimostrato. I produttori hanno 90 giorni di tempo per rilasciare gli aggiornamenti dopo che le vulnerabilità sono state ufficialmente divulgate.

In totale, a Berlino 2025 sono in palio più di un milione di dollari. Le categorie di attacco non riguardano solo browser e virtualizzazione, ma anche applicazioni aziendali, infrastrutture cloud, automobili e intelligenza artificiale. Sebbene nell’elenco degli obiettivi figurino anche le unità di prova Tesla Model 3 (2024) e Model Y (2025), finora non è stato registrato alcun tentativo di attacco contro di esse.

L'articolo Pwn2Own Berlin 2025: Windows, Linux e Virtualbox cadono miseramente in un giorno. Ed è solo l’inizio proviene da il blog della sicurezza informatica.

Spectre lives. We’ve got two separate pieces of research, each finding new processor primitives that allow Spectre-style memory leaks. Before we dive into the details of the new techniques, let’s quickly remind ourselves what Spectre is. Modern CPUs use a variety of clever tricks to execute code faster, and one of the stumbling blocks is memory latency. When a program reaches a branch in execution, the program will proceed in one of two possible directions, and it’s often a value from memory that determines which branch is taken. Rather than wait for the memory to be fetched, modern CPUs will predict which branch execution will take, and speculatively execute the code down that branch. Once the memory is fetched and the branch is properly evaluated, the speculatively executed code is rewound if the guess was wrong, or made authoritative if the guess was correct. Spectre is the realization that incorrect branch prediction can change the contents of the CPU cache, and those changes can be detected through cache timing measurements. The end result is that arbitrary system memory can be leaked from a low privileged or even sandboxed user process.

In response to Spectre, OS developers and CPU designers have added domain isolation protections, that prevent branch prediction poisoning in an attack process from affecting the branch prediction in the kernel or another process. Training Solo is the clever idea from VUSec that branch prediction poisoning could just be done from within the kernel space, and avoid any domain switching at all. That can be done through cBPF, the classic Berkeley Packet Filter (BPF) kernel VM. By default, all users on a Linux system can run cBPF code, throwing the doors back open for Spectre shenanigans. There’s also an address collision attack where an unrelated branch can be used to train a target branch. Researchers also discovered a pair of CVEs in Intel’s CPUs, where prediction training was broken in specific cases, allowing for a wild 17 kB/sec memory leak.

Also revealed this week is the Branch Privilege Injection research from COMSEC. This is the realization that Intel Branch Prediction happens asynchronously, and in certain cases there is a race condition between the updates to the prediction engine, and the code being predicted. In short, user-mode branch prediction training can be used to poison kernel-mode prediction, due to the race condition.

(Editor’s note: Video seems down for the moment. Hopefully YouTube will get it cleared again soon. Something, something “hackers”.)

youtube.com/embed/jrsOvaN7PaA?…

Both of these Spectre attacks have been patched by Intel with microcode, and the Linux kernel has integrated patches for the Training Solo issue. Training Solo may also impact some ARM processors, and ARM has issued guidance on the vulnerability. The real downside is that each fix seems to come with yet another performance hit.

Is That Real Cash? And What Does That Even Mean?

Over at the Something From Nothing blog, we have a surprisingly deep topic, in a teardown of banknote validators. For the younger in the audience, there was a time in years gone by where not every vending machine had a credit card reader built-in, and the only option was to carefully straighten a bill and feed it into the bill slot on the machine. Bow how do those machines know it’s really a bill, and not just the right sized piece of paper?

And that’s where this gets interesting. Modern currency has multiple security features in a single bill, like magnetic ink, micro printing, holograms, watermarks, and more. But how does a bill validator check for all those things? Mainly LEDs and photodetectors, it seems. With some machines including hall effect sensors, magnetic tape heads for detecting magnetic ink, and in rare cases a full linear CCD for scanning the bill as it’s inserted. Each of those detectors (except the CCD) produces a simple data stream from each bill that’s checked. Surely it would be easy enough to figure out the fingerprint of a real bill, and produce something that looks just like the real thing — but only to a validator?

In theory, probably, but the combination of sensors presents a real problem. It’s really the same problem with counterfeiting a bill in general: implementing a single security feature is doable, but getting them all right at the same time is nearly impossible. And so with the humble banknote validator.

Don’t Trust That Phone Call

There’s a scam that has risen to popularity with the advent of AI voice impersonation. It usually takes the form of a young person calling a parent or grandparent from jail or a hospital, asking for money to be wired to make it home. It sounds convincing, because it’s an AI deepfake of the target’s loved one. This is no longer just a technique to take advantage of loving grandparents. The FBI has issued a warning about an ongoing campaign using deepfakes of US officials. The aim of this malware campaign seems to be just getting the victim to click on a malicious link. This same technique was used in a LastPass attack last year, and the technique has become so convincing, it’s not likely to go away anytime soon.

AI Searching SharePoint

Microsoft has tried not to be left behind in the current flurry of AI rollouts that every tech company seems to be engaging in. Microsoft’s SharePoint is not immune, and the result is Microsoft Copilot for SharePoint. This gives an AI agent access to a company’s SharePoint knowledge base, allowing users to query it for information. It’s AI as a better search engine. This has some ramifications for security, as SharePoint installs tend to collect sensitive data.

The first ramification is the most straightforward. The AI can be used to search for that sensitive data. But Copilot pulling data from a SharePoint file doesn’t count as a view, making for a very stealthy way to pull data from those sensitive files. Pen Test Partners found something even better on a real assessment. A passwords file hosted on SharePoint was unavailable to view, but in an odd way. This file hadn’t been locked down using SharePoint permissions, but instead the file was restricted from previewing in the browser. This was likely an attempt to keep eyes off the contents of the file. And Copilot was willing to be super helpful, pasting the contents of that file right into a chat window. Whoops.

Fuzzing Apple’s CoreAudio

Googler [Dillon Franke] has the story of finding a type confusion flaw in Apple’s CoreAudio daemon, reachable via Mach Inter-Process Communication (IPC) messages, allowing for potential arbitrary code execution from within a sandboxed process. This is a really interesting fuzzing + reverse engineering journey, and it starts with imagining the attack he wanted to find: Something that could be launched from within a sandboxed browser, take advantage of already available IPC mechanisms, and exploit a complex process with elevated privileges.

Coreaudiod ticks all the boxes, but it’s a closed source daemon. How does one approach this problem? The easy option is to just fuzz over the IPC messages. It would be a perfectly viable strategy, to fuzz CoreAudio via Mach calls. The downside is that the fuzzer would run slower, and have much less visibility into what’s happening in the target process. A much more powerful approach is to build a fuzzing harness that allows hooking directly to the library in question. There is some definite library wizardry at play here, linking into a library function that hasn’t been exported.

The vulnerability that he found was type confusion, where the daemon expected an ioctl object, but could be supplied arbitrary data. As an ioctl object contains a pointer to a vtable, which is essentially a collection of function pointers. It then attempts to call a function from that table. It’s an ideal situation for exploitation. The fix from Apple is an explicit type check on the incoming objects.

Bits and Bytes

Asus publishes the DriverHub tool, a gui-less driver updater. It communicates with driverhub.asus.com using RPC calls. The problem is that it checks for the right web URL using a wildcard, and driverhub.asus.com.mrbruh.com was considered completely valid. Among the functions DriverHub can perform is to install drivers and updates. Chaining a couple of fake updates together results in relatively easy admin code execution on the local machine, with the only prerequisites being the DriverHub software being installed, and clicking a single malicious link. Ouch.

The VirtualBox VGA driver just patched a buffer overflow that could result in VM escape. The vmsvga3dSurfaceMipBufferSize call could be manipulated so no memory is actually allocated, but VirtualBox itself believes a buffer is there and writable. This memory write ability can be leveraged into arbitrary memory read and write capability on the host system.

And finally, what’s old is new again. APT28, a Russian state actor, has been using very old-school Cross Site Scripting (XSS) attacks to gain access to target’s webmail systems. The attack here is JavaScript in an email’s HTML code. That JS then used already known XSS exploits to exfiltrate emails and contacts. The worst part of this campaign is how low-effort it was. These aren’t cutting-edge 0-days. Instead, the target’s email servers just hadn’t been updated. Keep your webmail installs up to date!

hackaday.com/2025/05/16/this-w…

Nel cuore della strategia europea per la cybersicurezza, nasce l’EUVD (EU Vulnerability Database), la prima banca dati ufficiale dell’Unione Europea per la gestione delle vulnerabilità informatiche. Un’infrastruttura cruciale, sviluppata e gestita dall’ENISA, che segna un passo deciso verso una sovranità digitale europea in materia di sicurezza ICT.

Cos’è l’EUVD?

Lanciato ufficialmente da ENISA, l’EUVD, accessibile tramite il seguente indirizzo web euvd.enisa.europa.eu/ è il primo sistema paneuropeo pensato per raccogliere, organizzare e condividere informazioni sulle vulnerabilità che affliggono software e sistemi digitali. L’obiettivo? Garantire che le vulnerabilità non passino inosservate, che siano gestite in modo trasparente e coordinato, e che le aziende, le autorità pubbliche e gli utenti europei possano contare su informazioni affidabili e aggiornate.

Un sistema simile esiste da tempo negli Stati Uniti — l’ NVD (National Vulnerability Database) — ma l’Europa finora non disponeva di una piattaforma autonoma. L’EUVD colma questo vuoto, fornendo identificatori europei (EUVD-ID), strumenti di notifica per i fornitori di software, e flussi di coordinamento con i ricercatori che scoprono falle di sicurezza.

Un tassello fondamentale della strategia europea

Il lancio dell’EUVD si inserisce all’interno di un quadro normativo sempre più stringente in tema di cybersicurezza:

CRA (Cyber Resilience Act): approvato dal Parlamento Europeo, impone a produttori e fornitori di software l’obbligo di segnalare vulnerabilità gravi entro 24 ore dalla scoperta. L’EUVD sarà il canale ufficiale attraverso cui inviare queste notifiche, con procedure standardizzate.

Direttiva NIS2: entrata in vigore nel 2023, la NIS2 estende gli obblighi di sicurezza a migliaia di aziende in settori critici (energia, sanità, finanza, digitale). Tra le novità principali: la gestione del rischio, la risposta agli incidenti e – appunto – la gestione proattiva delle vulnerabilità.

In questo contesto, l’EUVD diventa un hub strategico: non solo uno strumento tecnico, ma una piattaforma politica che rafforza l’autonomia digitale dell’Unione e la sua capacità di reagire alle minacce cibernetiche in modo coordinato.

Trasparenza, interoperabilità, sovranità

Uno degli elementi più innovativi del progetto è l’approccio interoperabile e trasparente: l’EUVD si integrerà con banche dati internazionali (come il sistema CVE/NVD), ma introdurrà anche identificatori propri per le vulnerabilità scoperte in Europa.

Questo permette ai ricercatori europei di non dipendere da enti esterni per la classificazione e la pubblicazione delle falle. Allo stesso tempo, stimola le aziende europee a prendere parte a un ecosistema regolato, dove la segnalazione responsabile (coordinated vulnerability disclosure) è parte integrante della compliance.

Una risorsa per tutti

L’EUVD non è pensato solo per gli esperti di sicurezza. ENISA ha costruito la piattaforma per essere utilizzabile da:

• Ricercatori e hacker etici, che possono segnalare falle;

• Aziende ICT, tenute per legge a notificare le vulnerabilità;

• Autorità nazionali, che devono monitorare e rispondere agli incidenti;

• Cittadini e media, che possono consultare la dashboard pubblica per informarsi su rischi noti.

Perché serve un database europeo delle vulnerabilità?

Negli ultimi anni, la gestione delle vulnerabilità è diventata un terreno strategico. Non è solo una questione tecnica: è una leva geopolitica. Affidarsi a banche dati extraeuropee – come l’NVD americana – significa cedere controllo su tempi, priorità e visibilità delle vulnerabilità che riguardano software utilizzati anche nell’UE.

L’EUVD permette all’Europa di:

• Decidere cosa pubblicare e quando, tutelando gli interessi strategici;

• Migliorare i tempi di risposta in caso di exploit attivi;

• Standardizzare la gestione delle vulnerabilità nei 27 Stati membri;

• Supportare i CERT nazionali e regionali in modo più rapido ed efficace.

Come funziona l’EUVD in pratica?

I fornitori di software che scoprono una vulnerabilità possono accedere al portale EUVD attraverso un login riservato. Una volta autenticati, hanno la possibilità di inserire tutti i dettagli tecnici della falla riscontrata: dalla descrizione del problema agli eventuali impatti, fino alle misure correttive già disponibili.

A seguito della segnalazione, il sistema assegna automaticamente un identificatore univoco, l’EUVD-ID, che funziona in modo analogo ai più noti codici CVE (Common Vulnerabilities and Exposures).

La vulnerabilità può essere gestita in forma privata, nel rispetto delle pratiche di disclosure responsabile, oppure resa immediatamente pubblica se già nota, sfruttata attivamente o considerata critica per la sicurezza collettiva.

Le autorità nazionali e i CERT europei (Computer Emergency Response Team) possono monitorare l’intero ciclo di vita della vulnerabilità attraverso dashboard interattive, seguendone l’evoluzione e coordinando eventuali risposte di emergenza.

Numeri attesi e scenari futuri

Secondo ENISA, oltre 10.000 vulnerabilità vengono scoperte ogni anno in prodotti software usati nell’UE. Con l’entrata in vigore del Cyber Resilience Act, ci si aspetta un forte aumento delle segnalazioni da parte dei produttori, anche di PMI europee finora escluse da questi circuiti.

L’EUVD sarà quindi una piattaforma dinamica, in continua evoluzione, con il potenziale di diventare uno dei riferimenti mondiali nella cybersecurity open data.

Conclusione

In un’epoca in cui la sicurezza informatica è diventata una questione di interesse nazionale e internazionale, l’EUVD rappresenta un pilastro della cybersicurezza europea. Un progetto che rafforza la fiducia nell’ecosistema digitale, promuove la trasparenza e difende i cittadini europei da un panorama di minacce sempre più sofisticato.

L'articolo EUVD, la banca dati europea delle vulnerabilità: nasce il cuore cibernetico della sicurezza UE proviene da il blog della sicurezza informatica.

If you want to convert heat into electrical power, it’s hard to find a simpler method than a thermoelectric generator. The Seebeck effect means that the junction of two dissimilar conductors will produce a voltage potential when heated, but the same effect also applies to certain alloys, even without a junction. [Simplifier] has been trying to find the best maker-friendly thermoelectric alloys, and recently shared the results of some extensive experimentation.

The experiments investigated a variety of bismuth alloys, and tried to determine the effects of adding lead, antimony, tin, and zinc. [Simplifier] mixed together each alloy in an electric furnace, cast it into a cylindrical mold, machined the resulting rod to a uniform length, and used tin-bismuth solder to connect each end to a brass electrode. To test each composition, one end of the cylinder was cooled with ice while the other was held in boiling water, then resistance was measured under this known temperature gradient. According to the Wiedemann-Franz law, this was enough information to approximate the metal’s thermal conductivity.

Armed with the necessary data, [Simplifier] was able to calculate each alloy’s thermoelectric efficiency coefficient. The results showed some useful information: antimony is a useful additive at about 5% by weight, tin and lead created relatively good thermoelectric materials with opposite polarities, and zinc was useful only to improve the mechanical properties at the expense of efficiency. Even in the best case, the thermoelectric efficiency didn’t exceed 6.9%, which is nonetheless quite respectable for a homemade material.

This project is a great deal more accessible for an amateur than previous thermoelectric material research we’ve covered, and a bit more efficient than another home project we’ve seen. If you just want to get straight to power generation, check out this project.

hackaday.com/2025/05/16/home-c…

Il dibattito sull’introduzione di un obbligo di utilizzo del documento d’identità per la registrazione ai social network torna ciclicamente ad accendere gli animi, contrapponendo la promessa di un web più sicuro alle preoccupazioni per la privacy e la libertà d’espressione. Diverse proposte, avanzate anche in Italia da figure politiche come Luigi Marattin e più recentemente dal ministro Giuseppe Valditara, mirano a legare i profili social a identità verificate, con l’obiettivo primario di contrastare fenomeni dilaganti come il cyberbullismo, la diffusione di fake news, l’hate speech e altre attività illecite che prosperano sotto lo scudo dell’anonimato.

Ma quali sono i “reali” pro e contro di una misura così impattante?

Le ragioni del “Sì”: un argine contro l’illegalità e la disinformazione

I sostenitori dell’obbligo di identificazione sottolineano come questa misura potrebbe rappresentare un potente deterrente contro i comportamenti scorretti online. Sapere che il proprio profilo è direttamente collegato alla propria identità reale potrebbe scoraggiare molti dal compiere atti di cyberbullismo, diffondere notizie false o insultare altri utenti, temendo conseguenze legali più immediate e concrete.

Tra i principali vantaggi evidenziati:

• Contrasto al cyberbullismo e all’hate speech: L’identificazione renderebbe più facile perseguire gli autori di minacce, insulti e discorsi d’odio, offrendo maggiore tutela alle vittime, in particolare ai minori. Il ministro Valditara, ad esempio, ha proposto l’obbligo della carta d’identità per l’accesso ai social e un divieto di iscrizione per i minori di 16 anni proprio per proteggere i più giovani.
• Lotta alla disinformazione: La creazione di account falsi finalizzati alla propaganda o alla diffusione di fake news verrebbe ostacolata, contribuendo a un’informazione online più trasparente e affidabile.
• Responsabilizzazione degli utenti: L’anonimato, percepito da alcuni come una “zona franca”, verrebbe meno, inducendo una maggiore consapevolezza delle proprie azioni e delle relative responsabilità.
• Facilitazione delle indagini: Le forze dell’ordine avrebbero strumenti più efficaci per risalire agli autori di reati commessi online, accelerando le indagini e l’applicazione della giustizia.

L’idea di fondo è che un ambiente digitale meno anonimo sarebbe intrinsecamente più sicuro e civile.

Le ragioni del “No”: privacy, libertà e rischi per la sicurezza dei dati

Sul fronte opposto, le critiche a una tale proposta sono numerose e toccano nervi scoperti legati ai diritti fondamentali e alla sicurezza informatica.

I principali timori includono:

• Violazione della privacy: Richiedere un documento d’identità per accedere ai social network implicherebbe la raccolta e la conservazione di una mole enorme di dati personali sensibili. Ciò solleva interrogativi su chi gestirebbe questi dati, come verrebbero protetti e per quali finalità potrebbero essere utilizzati, oltre alla registrazione stessa. Il rischio di data breach di database così vasti e centralizzati sarebbe estremamente elevato, con conseguenze potenzialmente disastrose per i cittadini.
• Limitazione della libertà d’espressione: L’anonimato online, sebbene talvolta abusato, è anche considerato uno strumento cruciale per la libera espressione, specialmente per individui che trattano argomenti sensibili, dissidenti politici o whistleblower. L’obbligo di identificazione potrebbe generare un “chilling effect”, inducendo le persone all’autocensura per timore di ritorsioni.
• Inefficacia contro i malintenzionati più esperti: Criminali informatici determinati e utenti tecnicamente abili potrebbero comunque trovare modi per aggirare l’obbligo, utilizzando documenti falsi, identità rubate o servizi VPN e proxy per mascherare la propria origine. La misura potrebbe quindi rivelarsi un ostacolo per l’utente comune più che per i veri “professionisti” dell’illecito.
• Complessità tecnica e applicativa: Implementare un sistema di verifica dell’identità a livello globale o anche solo nazionale per tutte le piattaforme social presenta sfide tecniche e logistiche enormi. Come si accorderebbero gli Stati con piattaforme che operano a livello transnazionale? Come verrebbe gestita la verifica per i cittadini stranieri?
• Rischio di abusi e sorveglianza: La centralizzazione dei dati identificativi potrebbe aprire la porta a forme di sorveglianza di massa o a un uso improprio delle informazioni da parte delle autorità o delle stesse piattaforme.

Esperti di cybersecurity, come il professor Giovanni Ziccardi, hanno espresso perplessità, sottolineando come l’identificazione tramite indirizzo IP sia già una pratica investigativa e che l’obbligo di documento potrebbe non aggiungere molto in termini di reale tracciabilità dei reati più gravi, a fronte di un notevole sacrificio della privacy. Si teme inoltre che la gestione di tali moli di documenti d’identità da parte di piattaforme o enti terzi creerebbe nuovi, appetibili bersagli per i cybercriminali.

Un equilibrio difficile da trovare

Un eventuale percorso legislativo in tal senso dovrà necessariamente passare attraverso un approfondito dibattito pubblico che coinvolga esperti di cybersecurity, giuristi, attivisti per i diritti digitali e le stesse piattaforme, al fine di esplorare soluzioni alternative o meccanismi che possano bilanciare efficacemente queste contrastanti, ma legittime, esigenze. La sfida resta quella di creare un ambiente online più responsabile senza sacrificare le libertà che lo hanno reso uno strumento di connessione e informazione globale.

Il mio punto di vista

La necessità di arginare il propagarsi di fake news e disinformazione rappresenta una sfida cruciale e urgente per tutte le democrazie contemporanee. L’inquinamento del dibattito pubblico e la manipolazione dell’opinione attraverso notizie false minano la fiducia nelle istituzioni e la coesione sociale. Tuttavia, la soluzione non può risiedere unicamente in misure che rischiano di comprimere diritti fondamentali.

Una possibile via intermedia, che miri a responsabilizzare senza ledere eccessivamente la privacy, potrebbe articolarsi su più livelli:

1. Certificazione Volontaria dell’Identità e “Account Verificati Potenziati”: Invece di un obbligo indiscriminato, si potrebbe incentivare un sistema di verifica volontaria dell’identità. Gli utenti che scelgono di autenticare il proprio profilo potrebbero ottenere un “badge” di affidabilità chiaramente visibile e, potenzialmente, una maggiore visibilità o priorità nella diffusione dei propri contenuti (se conformi alle policy). Questo creerebbe una distinzione chiara tra account anonimi/pseudonimi e account legati a un’identità reale verificata, permettendo agli altri utenti di ponderare diversamente la credibilità delle fonti. Le piattaforme dovrebbero garantire standard elevatissimi di sicurezza per i dati di chi aderisce.
2. Maggiore Responsabilità delle Piattaforme sulla Trasparenza Algoritmica e sulla Moderazione: Le piattaforme dovrebbero essere legalmente tenute a una maggiore trasparenza sul funzionamento dei loro algoritmi di raccomandazione, che spesso amplificano contenuti sensazionalistici o divisivi, incluse le fake news. Parallelamente, andrebbero potenziati gli obblighi di intervento rapido ed efficace contro la disinformazione palesemente dannosa e le campagne di influenza coordinate, anche attraverso un aumento significativo di moderatori umani qualificati e strumenti di IA dedicati, con meccanismi di appello chiari e accessibili per gli utenti.
3. Educazione Digitale e Sviluppo del Pensiero Critico: Fondamentale e prioritario è un investimento massiccio e continuo nell’educazione alla cittadinanza digitale, a partire dalle scuole. Formare cittadini capaci di riconoscere le notizie false, comprendere i meccanismi della disinformazione e navigare il mondo online con spirito critico è la difesa più potente e sostenibile nel lungo periodo.

Questo approccio combinato potrebbe contribuire a creare un ecosistema digitale più sano e affidabile, promuovendo la responsabilità e la trasparenza senza ricorrere a una sorveglianza generalizzata che potrebbe avere effetti collaterali indesiderati sulla libertà di espressione e sull’innovazione. La lotta alla disinformazione richiede un impegno corale che coinvolga istituzioni, piattaforme tecnologiche, mondo dell’educazione e singoli cittadini.

L'articolo Identità digitale obbligatoria: scudo contro i cybercrimini o minaccia per la democrazia? proviene da il blog della sicurezza informatica.

Today in the it’s-surprising-that-it-works department we have a ding dong doorbell extension from [Ajoy Raman].

What [Ajoy] wanted to do was to extend the range of his existing doorbell so that he could hear it in his workshop. His plan of attack was to buy a new wireless doorbell and then interface its transmitter with his existing doorbell. But his approach is something others might not have considered if they had have been tasked with this job, and it’s surprising to learn that it works!

What he’s done is wrap a new coil around the ding dong doorbell’s solenoid. When the solenoid activates, a small voltage is induced into the coil. This then gets run into the wireless doorbell transmitter power supply (instead of its battery) via a rectifier diode and a filter capacitor. The wireless doorbell transmitter — having also had its push-button shorted out — operates for long enough from this induced electrical pulse to transmit the signal to the receiver. To be clear: the wireless transmitter is fully powered by the pulse from the coil around the solenoid. Brilliant! Nice hack!

We weren’t sure how reliable the transmitter would be when taken out of the lab and installed in the house so we checked in with [Ajoy] to find out. It’s in production now and operating well at a distance of around 50 feet!

Of course we’ve published heaps of doorbell hacks here on Hackaday before, such as this Bluetooth Low Energy (BLE) doorbell and this light-flashing doorbell. Have you hacked your own doorbell? Let us know on the tips line!

youtube.com/embed/PQz1Bgo0KqM?…

hackaday.com/2025/05/16/wirele…

Un’inserzione pubblicata nelle scorse ore sul forum underground XSS ha attratto la mia attenzione: un gruppo chiamato HAXORTeam ha messo in vendita l’accesso alla rete interna di IIX (Israeli Internet eXchange), l’Internet Exchange ufficiale dello Stato di Israele. Prezzo richiesto: 150.000 dollari, pagabili in Monero o Bitcoin, con servizio di escrow incluso.

“Hack sensitive communications between Israeli government, institutions and influential organizations”
— HAXORTeam, XSS Forum, 13 maggio 2025

Nel post pubblicato alle 16:13 (UTC+3), il gruppo criminale descrive con orgoglio le potenzialità dell’accesso offerto:

• Intercettare comunicazioni sensibili di enti governativi, istituzioni e organizzazioni strategiche
• Deviare e manipolare il traffico per eseguire furto dati, sabotaggio o deployment di malware
• Condurre attacchi mirati su obiettivi israeliani
• Accedere a proprietà intellettuali, dati finanziari e risorse classificate
• Disintegrare servizi critici
• Facilitare il movimento laterale nella rete e nuove fasi di compromissione

Il post è firmato da un utente con nickname HAXORTeam, appena registrato (11 maggio 2025) ma già con punteggio di “reazione” pari a 11.

Perché un Internet Exchange è un bersaglio strategico

L’IIX non è un semplice nodo: è la spina dorsale della connettività nazionale israeliana. È l’infrastruttura tramite cui i principali ISP, enti pubblici e fornitori cloud si interconnettono per scambiarsi dati in modo diretto, veloce e resiliente.

Un attore con accesso privilegiato alla sua rete interna può:

• Manipolare routing BGP per indirizzare il traffico attraverso server malevoli
• Monitorare metadati e pattern di comunicazione
• Effettuare BGP hijacking su larga scala
• Isolare digitalmente il Paese con tecniche di “network partitioning”
• Impiantare persistent access in altri peer connessi, inclusi servizi cloud, CDN e DNS root israeliani

Perfetto, grazie per la precisazione. Integro ora un paragrafo chiaro e conciso basato sulla descrizione tecnica dell’IIX che hai fornito, con stile coerente al resto dell’articolo e orientamento tecnico-geopolitico.

IIX: il cuore della rete israeliana

L’Israel Internet Exchange (IIX), gestito dalla Israel Internet Association (ISOC-IL), è il principale punto di interconnessione tra i provider Internet israeliani con connessioni che vanno da 1 fino a 200 Gbit. È qui che gli ISP si “incontrano” per scambiarsi il traffico in modo diretto, senza passare per dorsali internazionali o cavi sottomarini. Una struttura essenziale per garantire latenza minima, risparmio economico e sovranità digitale.

Dal punto di vista tecnico, l’IIX è uno switch a Layer3 (routing) collocato nel data center sotterraneo Med-1, uno dei più grandi del Paese. Gli operatori che vogliono fare peering devono stabilire un collegamento fisico, nel rispetto delle policy definite dallo statuto IIX. Una volta connessi, il traffico tra i vari ISP israeliani può fluire in modo locale, senza deviazioni verso hub europei.

Precedenti storici: quando l’IXP diventa arma

Quello in vendita oggi non è un caso isolato. Gli Internet Exchange sono da anni un obiettivo privilegiato degli attori statali e dei gruppi APT, per le loro potenzialità di sorveglianza e sabotaggio.

• 2018 – DE-CIX Frankfurt: la Corte federale tedesca rivelò che l’intelligence USA, tramite la NSA, aveva cercato di intercettare massivamente il traffico passante per DE-CIX, il più grande IX europeo. Il caso sollevò un acceso dibattito politico sull’ingerenza estera nelle infrastrutture di rete.
• 2020 – Iran IXP: attacchi attribuiti a gruppi affiliati al Mossad e alla CIA avrebbero compromesso temporaneamente le tabelle di routing del principale IX iraniano, causando disservizi a cascata su provider locali. Nessuna rivendicazione ufficiale, ma una conferma implicita da parte di fonti militari israeliane.
• 2023 – Ucraina: durante i primi mesi della guerra, alcuni nodi IX secondari nella regione orientale vennero disattivati da remoto tramite accessi precedentemente compromessi, provocando isolamento digitale locale e interferenze su comunicazioni militari.

Questi episodi dimostrano che l’accesso a un IXP non è un semplice breach tecnico, ma una leva di potere strategico, utile per spionaggio, destabilizzazione e warfare digitale.

Il riferimento a target specifici ucraini nel post (citando “Ukraine intellectual property, financial or classified information”) suggerisce anche connessioni con attori filo-russi, o quantomeno una visione transnazionale dell’attacco, coerente con le tattiche dei gruppi APT sponsorizzati da stati.

Sebbene il prezzo di 150.000$ sia elevato risulta compatibile con l’interesse di soggetti avanzati (militari, intelligence, gruppi APT) disposti a pagare cifre alte per penetrare nodi di rilevanza critica.

In particolare, è plausibile che il venditore agisca come Initial Access Broker, ossia un intermediario che compromette infrastrutture e poi rivende l’accesso a gruppi più organizzati, capaci di monetizzarlo attraverso sabotaggi, intelligence o ransomware.

Questa annuncio rappresenta un precedente pericoloso: la compromissione di un Internet Exchange equivale a colpire il sistema nervoso digitale di una nazione. Non si tratta solo di un rischio teorico, ma di una minaccia immediata alla sicurezza nazionale e globale, con ripercussioni su intelligence, difesa e stabilità geopolitica.

In attesa di una risposta ufficiale dalle autorità israeliane o da ISOC-IL, resta una certezza: il cybercrime si sta evolvendo, e ora punta direttamente ai punti vitali dell’infrastruttura Internet globale.

L'articolo Israeli Internet Exchange compromesso: rischio sabotaggi e intercettazioni a livello statale proviene da il blog della sicurezza informatica.

Stipendi ridotti ai neoassunti e ai precari, organici della redazione del Tg insufficienti dopo i numerosi pensionamenti, carriere e retribuzioni bloccate da troppi anni e lontane da quelle delle altre tv nazionali, nessun piano di sviluppo e investimenti: accade a La7 nonostante gli ottimi dati di bilancio e gli straordinari risultati di ascolto, spinti proprio dai Tg e dai programmi di informazione e dalla crescita su tutte le piattaforme, che trainano l’intero gruppo editoriale.

L’assemblea dei giornalisti de La 7 chiede all’azienda e al Direttore il riconoscimento concreto dell’impegno della redazione attraverso i corretti strumenti del CNLG e degli accordi integrativi aziendali, l’adeguamento degli organici e degli stipendi dei neoassunti, un piano per la stabilizzazione dei colleghi precari, progetti editoriali chiari e regole per favorirne lo sviluppo.

L’assemblea conferma al Comitato di redazione il pacchetto di tre giornate di sciopero già assegnatogli.

Documento approvato dall’assemblea dei giornalisti de La7 con un solo astenuto, nessun voto contrario.

dicorinto.it/associazionismo/a…

Negli ultimi anni l’attenzione politica si è ampliata al di fuori dei confini nazionali dei diversi stati. Dall’oramai superata pandemia causata dal COVID-19 e la (ri)nascita dei diversi conflitti nelle diverse parti del mondo hanno ampliato l’informazione pubblica portando sul tavolo le dichiarazioni e decisioni a livello sovranazionale.

L’Unione Europea ha ricevuto molta copertura mediatica negli ultimi anni si pensi all’AI ACT e tutte le discussioni portate sul tema intelligenza artificiale ed il GDPR nell’ambito della protezione dei dati. Al di fuori delle misure designate all’industria digitale è stata molta sentita l’iniziativa ReArm Europe [1] sia tra i favorevoli che tra gli oppositori a tale progetto.

Questo scenario non può che essere considerato estremamente positivo dove le diverse discussioni vengono messe su un piano multigiurisdizionale su decisioni che altresi, se affrontati autonomamente dai singoli stati, risulterebbero complesse e poco aderenti ad un percorso comune.

Questo articolo vuole affrontare principalmente 2 prese di posizione della Commissione Europea (con una digressione iniziale in ambito Italia) andando a discuterne nel merito. L’intero contenuto si attiene (per quanto possibile) al principio di carità senza voler assumere una sorta di malizia nelle istituzioni che verranno citate.

Tutte le situazioni proposte verranno discusse in quanto rischio (e se attuate, minaccia) al diritto della privacy e al (pseudo)anonimato in ambito digitale e di come è stato gestito il contrapeso in relazione alla sicurezza o tutela di determinate categorie.

Ricordiamo che la privacy è considerato un diritto fondamentale nell’articolo 12 della Dichiarazione Universale dei Diritti Umani [2] e articolo 17 Patto Internazionale sui Diritti Civili e Politici (1966)[3] e ci si aspetta che tale diritto venga tutelato da parte di quei paesi (Italia ed Europa inclusi) che fanno della democrazia il loro perno politico.

Ovviamente sta al singolo decidere che valore dare a tale diritto ma quando una istituzione forza in maniera unilaterale misure che mettono a rischio il rispetto di quest’ultimo è come minimo necessario portare l’attenzione sul tema.

AGCOM – L’erotismo non ha identità

L’ AgCom ha rilasciato, nella giornata del 18 Aprile 2025, un comunicato stampa riguardante le linee guide sulla verifica dell’età degli utenti di “piattaforme di video sharing e i siti web” [4] alla quale i fornitori si dovranno adeguare entro 6 mesi dalla pubblicazione della delibera. Attenendoci alle dichiarazioni pubblicate il sistema di verifica dell’età si baserà su 2 passaggi “logicamente distinti” con 3 attori principali : utente, fornitori di servizi e un terzo ente indipendente.

L’utente dovrà identificarsi all’ente terzo che validerà la sua data di nascita (eg:/ definire se utente minorenne o meno) dopodichè per poter iniziare una sessione sul servizio il fornitore dovrà richiedere una convalida da parte del terzo ente.

Non vengono citati nessuno di questi “soggetti terzi indipendenti certificati” ne tantomeno come viene costituito il processo di verifica ma solamente i criteri che verranno presi in considerazione tra i quali:

• Proporzionalità
• Protezione dei dati personali
• Sicurezza Informatica
• Precisione ed Efficacia

Tale processo viene descritto da AGCOM come meccanismo di “doppio-anonimato” ma ci permettiamo di definire tale affermazione come molto fuorviante. Se il terzo ente deve avere la mia identità di base l’anonimato viene meno nonostante il fornitore di servizi non abbia conoscenza diretta se non l’età dell’utente. A voler essere piu’ precisi, il processo di convalida è il contrario di un meccanismo di “doppio-anonimato” che va anzi ad aggiungere artefatti per il tracciamento degli utenti. tale principio deve essere cristallino e spiegato agli utenti (la quale AGCOM si impegna a tutelare) senza mezzi termini.

Ad essere pignoli non è stata neanche data una definizione di cosa si ritenga un rischio o un pericolo per il minore (ci si è limitati all’equazione visione di contenuti pornografici = danno), si potrebbe facilmente argomentare che una modella postando foto in lingerie linkando il suo profilo OnlyFans nella descrizione sia piu’ dannoso per individui minorenni di un video con atti sessuali reperibile su PornHub.

Nonostante la scadenza relativamente breve entro la quale i fornitori di servizi dovranno adeguarsi per poter operare nei confini italiani non è ancora chiaro come dovrà avvenire la identificazione degli utenti (eg:/ SPID, foto carta identità). Questa non chiarezza lascia abbastanza perplessi vista una consultazione pubblica a riguardo iniziata nel 2024 [5] ma si può presuporre che si tratti di una lacuna comunicativa sul comunicato attuale e che dovremo aspettare la pubblicazione della delibera per maggiori informazioni a riguardo.

Come oramai risaputo queste linee guida hanno uno scopo preciso ovvero “garantire una protezione efficace dei minori dai pericoli del web”, non a caso ciò è un’estensione della legge 159 del 13 novembre 2023 (“Decreto Caivano”) a realtà come siti di scommesse e gioco d’azzardo ponendo i fornitori stessi come responsabili della verifica dell’età della loro utenza.

Nessuno vuole (e deve) affermare che visione di materiale pornografico non sia un rischio (ovviamente con il giusto grado di gravità) in particolare per utenti minorenni. Sono diversi gli studi sul tema quali Problematic Pornography Use: Legal and Health Policy Considerations [6] che va ad analizzare come la visione di pornografia online sia terreno fertile per lo sviluppo della PPU (Problematic Pornography Use) e di come non importi quanto materiale venga visionato ma in quale condizione dello sviluppo cerebrale avviene e in che modalità. Lo studio intitolato Pornography Consumption and Cognitive-Affective Distress ha ricercato le diverse distorsioni causate da un uso eccessivo di materiale pornografico portando a diversi problemi relazionali e la creazione di disfunzioni mentali future.

Proprio perchè siamo ben consci del rischio possiamo permetterci di affermare che tale linee guida non sono per nulla efficaci al problema che si vuole risolvere. La facilità di raggiramento a questo tipo di misure è oramai una ovvietà che è però presente e non va ignorata, per considerare “efficace” una misura deve come minimo essere robusta ai diversi strumenti di raggiro. In caso contrario si ottiene solo una soluzione non al passo coi tempi portando ad un nulla di fatto se non spreco di tempo e risorse alle istituzioni pubbliche.

Ma escludendo questa sfumatura dal discorso assumiamo che l’idea di AGCOM riesca nel suo intento, il risultato non sarebbe una percentuale inferiore di minorenni che usufruiscono di materiale a luci rosse ma bensi l’allontanamento di questo tipo di utenti da canali “leciti” che offrono questo tipo di materiale. Piattaforme come PornHub, XVIDEOS, YouPorn e similari sono stati messi immediatamento sotto i riflettori non appena annunciata la verifica dell’età. Ricordiamoci che tali siti hanno dei controlli e codici di condotta nella pubblicazioni di contenuti andando a punire e segnalare potenziali divulgazioni illecite.

Queste piattaforme (con oramai milioni di utenti annuali) cercano di limitare revenge porn o divulgazione non consensuale mantenendo un ambiente sex positive e principalmente ludico per i suoi utenti dove, nonostante l’enorme varietà di contenuti, non sarà mai terreno fertile per contenuti di violenza, abusi o similari.

Esistono realtà molto piu’ pericolose (alla quale bisognerebbe dare la priorità) che non hanno l’interesse ad adeguarsi a qualsivoglia normativa o bypassandole sfruttando piattaforme di per se neutre (vedasi Telegram). Parliamo di canali/gruppi che si possono trovare tranquillamente su Telegram, siti alternativi con meno restrizioni sui contenuti caricati o qualsiasi altro luogo che incentiva lo scambio di materiale tra utenti. Questi ambienti vanno contrastati non solamente con norme e regole ma con vere e proprie operazioni sul campo che devono essere continue e supportate dalle giuste risorse. Andare a forzare l’accesso tramite verifica dell’età nei modi proposti da AGCOM rischiano di far avvvenire uno shift pesante di minori su piattaforme con meno controllo sui contenuti. Inoltre materiale “estremo” o meno può essere facilmente reperibile su Google Images [7], la soluzione sarebbe richiedere verifica dell’età per determinate query su un motore di ricerca? X/Twitter permette tranquillamente foto e video di nudo, anche questa piattaforma deve essere soggetta a tale misura?

In un mondo ideale nessuno vorrebbe che dei minori (in particolare con età

Senza l’ausilio di mezzi termini, dobbiamo accettare che se un minore vuole accedere a contenuti pornografici lo farà a discapito delle barriere imposte. Allo stesso modo bisogna capire che la pornografia offerta come esperienza ludica può essere sicuramente origine di diversi problemi sulla persona ma i danni sono estremamente minori di altri metodi di condivisione di materiale.

Il rischio di avere un aumento di pubblico in ambienti dove il revenge porn è sdoganato, lo scambio di materiale tra diversi utenti incensurato e un controllo assente di questo tipo di contenuti è relativamente maggiore di un uso svogliato sui siti porno tradizionali e questa misura porterà solamente a una maggiore frequentazione di aree molto opache. Non solo non è una misura efficace come pianificato dall’AGCOM ma potrebbe persino peggiorare la situazione avendo meno monitoraggio, e quindi meno controllo, sul fenomeno.

Avendo questa base possiamo proseguire con il prossimo punto ovvero sulla proporzionalità. Fino a che punto possiamo modificare libertà altrui per la tutela di un sottoinsieme di utenti online?

Il solo porre questa domanda può far sembrare una persona come insensibile agli occhi altrui quando in realtà è segno di pragmaticità unito al bilanciamento di costi-benefici. È necessario analizzare il problema in maniera fredda senza scadere in un semplice “ed i bambini?” creando una “plot armor” senza una vera e propria argomentazione.

In primo luogo si può facilmente risalire a diversi tentativi della politica nel portare misure simili anche al di fuori di siti pornografici o di gambling (ne abbiamo discusso in un articolo precedente [8]) mettendo a dura prova il principio di carità con la quale abbiamo iniziato l’articolo. Le motivazioni portate sono tra le piu’ varie ma si ricade sempre nella tutela dei minori o nel contrasto all’abuso dell’anonimato da parte di persone che performano hate speech su diversi canali social.

Qualsivoglia stato proponga questo tipo di regolamentazione crea un precedente che minaccia il libero uso di internet ampliando la possibilità di schedare e monitorare anche alle istituzioni governative rendendole di fatto parte all’interno del threat model di chi decide di valorizzare il proprio diritto alla privacy e/o anonimato. Uno stato Europeo dovrebbe tutelare tale diritto e non esserne nemico. Togliere anche solo parte di questo diritto non risolverà il problema dell’hate speech o del razzismo ma diminuirà l’accesso libero a determinati individui di interagire con parte della rete.

Tornando alla pornografia il discorso non si discosta di molto e non dobbiamo trovare una situazione nella quale qualcuno non vuole far sapere ad un ente terzo la sua frequentazione piu o meno assidua di siti per adulti, se un individuo vuole visitare determinati siti senza farlo sapere a qualche ente o persona questa sua volontà deve essere rispettata.

Per essere il piu’ schietti possibile il rispetto di questa volontà non può essere di fatto denigrata per negligenza da parte di chi dovrebbe davvero tutelare i minori. Non dimentichiamoci che la responsabilità diretta nel tutelare i minorenni a contenuti non adatti a loro (eg:/ pornografia e gioco d’azzardo) è del loro genitore/tutore. Se davvero il problema sta nella frequentazione continua di tali contenuti da parte di minorenni dobbiamo chiederci come sia possibile un’utilizzo incontrollato dell’internet.

Togliendo persone con un’età avanzata (>60 anni) oramai chiunque è a conoscenza della facilità nel reperire qualsivoglia video o immagine con un semplice motore di ricerca. Ma allo stesso tempo è anche oramai vero che tutti i dispositivi possono essere facilmente configurati per implementare misure di parental control che possono prevenire la visione di determinati contenuti (o al piu’ notificare il genitore contenuti inappropiati visionati sul dispositivo del figlio).

Alla luce dell’ovvio, perchè sembra un’oltraggio dare la giusta responsabilità a chi responsabile non lo è? In aggiunta, perchè mai la non adeguata preparazione (o totale/parziale disinteresse) da parte dei tutori dovrebbe risolversi con una misura come quella proposta da AGCOM?

Non c’è nessuna proporzionalità in questo. Uno stato non dovrebbe aderire alle responsabilità di un tutore andando a limitare libertà di tutti indiscriminatamente, specialmente se si tratta di privacy/anonimato in ambito internet. Il semplice fatto che sia necessario un documento di identità per poter accedere a qualsivoglia risorsa online è una limitazione (per chi non lo ha, non vuole cederlo o li viene rimossa la possibilità i accedere secondo le regole imposte da AGCOM) e come tale va ponderata con estrema attenzione e, sopratutto, adeguatamente giustificata prima di attuarla.

Come gia detto ad inizio sezione, si è consci dei rischi sull’utilizzo della pornografia dei minorenni e proprio alla luce di questo si richiede che vengano trovate soluzioni veramente efficaci andando a studiare il problema in maniera analitica sul perchè e sul come tali contenuti sono cosi liberamente accessibili ai piu’ giovani. Proprio per questo si dovrebbe chiedere di responsabilizzare i genitori in maniera adeguata e in caso di spiegarli come attuare in maniera pratica la tutela che viene richiesta per questo tipo di utenti.

È una soluzione “efficace” al 100%? Assolutamente no. È meglio delle misure che vanno a limitare diritti altrui? Lasciamo al lettore la risposta.

Lascia molto perplessi il tipo di comunicazione su questo tipo di regolamentazioni. Vengono vendute come la soluzione finale per la risoluzione di problemi che possono essere risolti in maniera (al piu’) sommaria con il solo appoggio della creazione di leggi. In parallelo si sta cercando di (ri)sdoganare l’argomentazione “se non hai nulla da nascondere non dovresti preoccuparti” (già adeguatamente analizzata in un articolo precedente [9]).

Tornando sul tecnico ci sono diversi aspetti della comunicazione AGCOM che dovrebbero come minimo essere chiariti se (proprio) si vuole attuare un meccanismo di age verification come quello proposto.

1. Non sono stati spiegati i processi e/o criteri per definire un ente terzo “certificato” e quindi valido per la verifica dell’età. Bisogna che vengano spiegati ai consumatori diversi aspetti quali la durata della retenzione dei dati (ed esattamente quali).
2. Il meccanismo “doppio-anonimato” è spiegato in maniera accettabile ma non è ben chiaro se un’istituzione o organo governativo può in qualunque maniera accertare se un determinato individuo ha ceduto la sua identità ad un “terzo ente certificato”.
3. Come verrà giudicata sufficente la sicurezza informatica di un “terzo ente certificato”? Sono previsti degli assesment (se si quali) da parte di enti nazionali (eg:/ ACN, AGCOM) o basterà la certificazione da aziende private? Inoltre tale requisito verrà controllato ad inervalli regolari o solamente prima di ricevere la “certificazione”. Data la natura dei dati si ritiene consono una spiegazione approfondita sul tema.
4. Perchè non è stato considerato un sistema di Age Verification direttamente sul device e come una misura che prevede di cedere la propria identità digitale a terzi sia stata considerata piu’ valida rispetto alle alternative.
5. Per verificare la pluralità di opinioni all’interno del processo di decisione, iniziato oramai nel 2024, ci si auspica di sapere quali sono stati i 13 soggetti che hanno partecipato alla consultazione pubblica.

Prima di lasciare questa sezione “calda” ci teniamo a precisare che nessuno vuole condannare i genitori/tutori di minori che sono entrati in contatto con materiale pornografico online, tutt’altro. Avere tale ruolo in un mondo digitalizzato ha le sue sfide che non vanno sottovalutate ma allo stesso tempo non vanno delegate ad altri soggetti. Purtroppo ricadere nei soliti luogi comuni senza avere un approccio proattivo che tenda almeno a mitigare o rendere difficile specifici comportamenti (sia subiti che attuati) su internet (eg:/ visione di materiale pornografico, hate speech, bullismo) risulta essere la maniera piu’ facile ma non piu’ efficace. È comprensibile come parte dell’utenza online trovi plausibile una misura simile ma chiediamo a questi ultimi di informarsi quali ripercussioni tali misure possano avere ad un livello piu’ ampio.

Non avendo una preparazione adeguata, siamo aperti ad ospitare (in qualsiasi forma) esperti nel settore che possano proporre diverse misure del problema e soprattutto di darli la giusta magnitudo senza destare un panico ingiustificato e che non limitino diritti fondamentali sulla quale si basa il sistema sociale della quale facciamo parte.

ProtectEU – Non esistono backdoor buone, non esistono backdoor cattive

Dopo questo breve zoom sul bel paese possiamo spostarci a livello macro, cosa succede in Unione Europea? Come detto in precedenza si è spesso parlato di GDPR ed AI Act cercando di regolamentare diverse realtà in ambito digitale a protezione dei cittadini di questa enorme comunità (e mercato economico). Come detto nell’introduzione, buona parte dell’attenzione dei cittadini appartenenti ai 27 membri dell’EU è stato il progetto ReArm Europe (o Readiness 2030), un progetto che mira ad aumentare la spesa militare dell’unione motivata principalmente dal conflitto Russo-Ucraino che compie oramai piu’ di 3 anni.

Al di fuori delle minacce esterne l”EU sta sviluppando diverse misure per la protezione interna da diverse realtà criminali di rilevanza secondo l’EU.
fonte European Commission
Dopo diverse istanze e discussioni parlamentari, la commissione europea ha annunciato una road-map ad hoc per aumentare la protezione, mitigazione e contrasto di minacce interne su diversi livelli. tale progetto è stato denominato “ProtectEU – the European Internal Security Strategy” [10] con la sua prima apparizione pubblica tramite un documento pubblicato il 1 Aprile 2025.

Dopo aver letto il documento, le FAQ allegate [11] e le dichiarazioni di Henna Virkkunen (Executive Vice-President for Tech Sovereignty, Security and Democracy) sul tema [12] abbiamo diverse perplessità da mostrare al nostro pubblico riguardo alla crittografia e accesso da parte delle forze dell’ordine ad informazioni cifrate.

Iniziamo con il cosa ha destato perplessità nello specifico. All’interno del documento (fonte 10) abbiamo diverse affermazioni sugli obbiettivi a riguardo tra cui:

1. […] The Commission will present in the first half of 2025 a roadmap setting out the legal and practical measures it proposes to take to ensure lawful and effective access to data. In the follow-up to this Roadmap, the Commission will prioritise an assessment of the impact of data retention rules at EU level and the preparation of a Technology Roadmap on encryption, to identify and assess technological solutions that would enable law enforcement authorities to access encrypted data in a lawful manner, safeguarding cybersecurity and fundamental rights.
2. present a Technology Roadmap on encryption to identify and assess technological solutions to enable lawful access to data by law enforcement authorities in 2026.
3. Around 85% of criminal investigations now rely on law enforcement authorities’ ability to access digital information.

Il messaggio è abbastanza chiaro, l’EU vuole attuare de-facto una backdoor alle diverse tecnologie che offrono canali crittografici ai loro utenti con una promessa di mantenere integra la sicurezza dei cittadini. Per iniziare partiamo dal punto 3 della lista soprastante riguardo a quel 85% citato anche dalla stessa Henna Virkkunen. Non è stato ben chiarito come si è arrivato a tale percentuale ma la fonte citata nel documento riporta ad un ulteriore documento (2019) intitolato “Recommendation for a COUNCIL DECISION authorising the opening of negotiations in view of an agreement between the European Union and the United States of America on cross-border access to electronic evidence for judicial cooperation in criminal matters” [13] dove viene semplicemente presentato il dato ma con un ulteriore dettaglio.

More than half of all criminal investigations today require access to cross-border electronic evidence. Electronic evidence is needed in around 85% of criminal investigations, and in two-thirds of these investigations there is a need to obtain evidence from online service providers based in another jurisdiction.

Facendo breve ricerche si può trovare un “Working Document” datato 2018 sempre riguardo le evidenze digitali, il dato si basa sulle richieste di accesso a stati non EU, questo rende l’affermazione “[…] 85% delle investigazioni richiede accesso alle evidenze digitali” molto fuorviante e poco “onesto” da parte di una istituzione come la commisione europea. Piu’ nel dettaglio riguarda specificamente richieste di tipo giudiziaro (“judicial”) dove il 25% sono effettivamente richieste negate ed il 45% di una mancanza di conferma in maniera tempestiva.

Non si tratta di semplice pignoleria ma di una richiesta di offrire le informazioni in maniera corretta al fine di evitare di “forzare” i dati per giustificare qualsivoglia misura. Nello stesso documento si evince l’85% delle investigazoni che necessitano (in maniera rilevante) accesso a evidenze digitali ma solamente di investigazioni cross-border (fuori dai confini) dove nel 65% dei casi è necessario di una richiesta ad accesso ai dati.

È quindi inspiegabile delle dichiarazioni di Henna Virkkunen e chi ha redatto le FAQ riguardo ProtectEU.

Inoltre tali numeri sono inflazionati da 3 stati dell’EU che formano il 75% delle richieste totali : UK, Francia e Germania. In aggiunta il 70% delle richieste totali sono state inviate a Google e Meta (all’epoca Facebook).

Nel documento citato si possono trovare le diverse tabelle per ogni stato in maniera tale da potersi fare un’idea dei numeri “crudi”, l’unica pecca è che non sono diversificate le richieste all’interno ed all’esterno dei confini EU o degli stati singoli. Inoltre bisognerebbe approfondire come sono state svolte le richieste e/o se erano presenti adeguate prove a motivare l’accesso ai dati ma anche assumendo tali richieste siano 100% motivate le affermazioni rimangono fuorvianti.

Al di là delle dichiarazioni e delle diverse percentuali mostrate cerchiam di ragionare sul fulcro del discorso: accesso da parte delle forze dell’ordine a dati cifrati. Che esse siano comunicazioni, backup di dati o metadati (molto sottovalutati, non tutti hanno chiaro il concetto del “We kill based on metadata” [14]) l’EU sta programmando di dare accesso in chiaro tenendo conto degli aspetti legislativi e di sicurezza.

La base delle diverse argomentazioni contro tale misura si basano fondamentalmene su 2 precisi aspetti :

• Backdoored encryption is NOT Encryption = La base della crittografia è mantenere l’accesso delle informazioni solamente a 1 o piu’ parti by design. Se un terzo attore ha la capacità di poter rompere la segretezza delle informazioni volutamente protette non si sta piu’ parlando di crittografia.
• Una backdoor è semplicemente una backdoor = In qualunque maniera venga presentata la aggiunta di una backdoor non cambia la natura dello strumento : accesso libero senza la necessità di informare il proprietario dei dati. Non si tratta solamente dell’oramai inflazionato “uno strumento viene definito dal suo uso” ma di una aggiunta di un canale che mette a rischio la sicurezza degli utenti. A quanto pare abbiamo ancora molto da imparare dal breach dei sistemi CALEA degli US da parte di APT cinesi [15]. Per proteggersi dalle minacce bisogna comprendere che creare delle finestre di accesso come queste aumenta il rischio e non il contrario.

L’EU deve assolutamente confrontarsi con la community della sicurezza informatica in Europa per poter comprendere fino in fondo perchè tale misura non è una buona idea. La crittografia non è negoziabile, 39 organizzazioni e 43 esperti hanno pubblicato una lettera aperta alla Commissione Europea a riguardo [16] e ci auguriamo che venga ascoltati adeguatamente se davvero si vuole valutare la sicurezza dei cittadini.

Assumendo il principio di carità anche in questo caso, i governi cambiano e con loro anche l’utilizzo dei diversi strumenti presenti in precedenza. Come la Russia è cambiata[17], come l’USA sta cambiando [18][19] anche l’Europa può cambiare e non possiamo permettere che in tali scenari un qualsasi governo o corpo politico abbia la possibilità di rompere la crittografia dei cittadini. Dobbiamo porre molta attenzione alle cattive intenzioni ma ancora di piu’ a chi a tali misure presentate con le migliori intenzioni.

Ovviamente la domanda (lecita) piu’ comune sarà : quale è l’alternativa per contrastare chi effetua crimini con il supporto della crittografia?

Per rispondere, nei limiti delle nostre conoscenze, è importante sottolineare come non esistano silver bullets (no, neanche una backdoor governativa può fermare diversi abusi perpetuati online), ciò richiede implicitamente sforzi combinati tra diverse specializzazioni ed un potenziamento delle forze dell’ordine sotto diversi aspetti (fortunatamente, ProtectEU prevede il potenziamento dell’Europol).

• Studio e monitoraggio dei metadati = Con le giuste capacità e raccolta di questo tipo di informazioni è possibile tracciare l’origine di diversi abusi senza la necessità di rompere la crittografia.
• E2E User Reporting = Sono diversi gli studi che esplorano diversi strumenti che possono essere utili nel reportare utenti fraudolenti in ambienti End2End Encrypted. Tra questi il paper CDT intitolato “Approaches to Content Moderation in End-to-End Encrypted Systems” [20] offre diverse possibilità pratiche a riguardo. Ciò che è necessario è (1) creare uno schema legislativo adatto per far si che i provider e le forze dell’ordine riescano ad investigare partendo dai report degli utenti e (2) trovare misure per incentivare gli utenti a reportare quando necessario.
• Fully Homomorphic Encryption [21][22] = Questo tipo di crittografia permette di eseguire analisi di dati criptati senza la necessità di avere accesso al plaintext. Una tecnologia a tratti sorprendente ma che non ha ricevuto la giusta attenzione dai policy maker. Bisogna supportare la ricerca a riguardo e spingere i diversi service provider e forze dell’ordine ad adottare questo tipo di crittografia.

Ovviamente le proposte di cui sopra (che non sono le uniche ne tantomeno le migliori) richiedono risorse e training da parte di tutti gli attori coinvolti e si potrebbe contro argomentare che una backdoor “legale” sia piu’ ecnomica e “facile” da usare. A questo non c’è una soluzione e l’unica cosa che si può controbattere è che la sicurezza, la privacy e la libertà hanno un costo che deve essere preso a carico (senza scorciatoie) dalle istituzioni che devono tutelare tutti e 3 questi aspetti della società.

Per chi avesse sufficente conoscenza delle scelte in ambito EU sul tema crittografia si ricorderà sicuramente la proposta di legge etichettata come “Chat Control”[23] che dava non solo accesso a comunicazioni cifrate ma permetteva la scansione di queste. La motivazione principale portata sul tavolo della commissione era la protezione dei minori online aumentando la capacità di individuare materiale pedopornografico. Molte realtà responsabili per la tutela della privacy hanno espresso la loro forte opposizione alla proposta [24][25] (a onor del vero anche un numero non indifferente di parlamentari EU hanno fatto lo stesso [26]), alla fine la proposta non ha ricevuto la maggioranza risultando in un nulla di fatto.

Questa specifica parte di ProtectEU è sostanzialmente la stessa proposta ma con un vestito diverso portando l’attenzione sul crimine piuttosto che su prevenzione di divulgazione di materiale CSAM. Tale comportamento mette a dura prova il principio di carità con la quale abbiamo introdotto l’articolo, le contro-argomentazioni a Chat Control non differiscono di molto su quelle di ProtectEU ed è quindi difficile capire come mai un’istituzione di alto livello possa ricadere nello stesso errore due volte.

La Commissione Europea sta continuando a tentare di ottenere accesso a dati crittografati nonostante le diverse discussione avute sul tema, in futuro non ci sarà da stupirsi di un ennesimo tentativo nel rompere la crittografia all’interno del territorio EU.

EU CryptoBan – Le sfide si devono affrontare, non nascondere

Rimaniamo sempre in ambito EU ma questa volta lasciamo la crittografia E2E da parte e facciamo entrare nella discussione le critpovalute, in particolare quelle fortemente orientate all’anonimato come ZCash e, il piu’ conosciuto, Monero. Tale decisione ha origine dal regolamento 2024/1624 [26].

L’EU ha deciso che dal 1 Luglio 2027 [27] verrà redatto un regolamento Anti-Riciclaggio in ambito Europeo (Anti-Money Laundering Regulation) dove tra i punti focali abbiamo :

1. Richiesta di processi (full) KYC per ogni singolo utente presente su una piattaforma crypto e per transazioni superiori a €1000.
2. Creazione di una nuova autorità AMLA (Anti-Money Laundering Authority) responsabile per il mantenimento e rispetto di tale regolamento (già 40 servizi crypto sono stati riconosciuti dall’UE che dovranno adattarsi a tale regolamento).
3. Ban di tutte le criptovalute che offrono anonimato alle transazioni degli utenti che dovranno essere delistate da tutti i provider.

A discapito degli altri punti, in questa sede ci focalizzeremo sul punto (3). Ovviamente il problema che si vuole cercare di affrontare è quello dei mercati illeciti (eg:/ droga, estorsione, vendita di illeciti) che si appoggiano a tali criptovalute per nascondere le transazioni e mettere in difficoltà eventuali indagini. Non solo l’acquisto di queste crypto verrà disincentivato ma anche mixers ed altri tool di anonimato che rientrano nella DeFi (Decentralized Finance).

Importante sottolineare che la custodia privata delle valute come Monero non verrà resa illegale ma viene creato un paradosso. Per poter eseguire transazioni sopra spiegate viene reso necessario mostrare la propria identità rendendo inutile l’utilizzo di tale criptovaluta. In breve alla base della regolamentazione è di rendere il piu’ tracciabile possibile ogni singola transazione blockchain all’interno dei confini EU.

Chiediamo venia al lettore se non entreremo nelle specifiche tecniche che permettono di mitigare la tracciabilità delle transazioni Monero, Dash o ZCash. Per mantenere il focus dell’articolo chiediamo, a chi non abbia abbastanza conoscenza a riguardo, di focalizzarsi sul fatto in se.

Uno dei paper piu’ visionari in ambito sicurezza informatica è stato redatto da Adam Young e Moti Yung chiamato “Cryptovirology – Extortion-Based Security Threats and Countermeasures” [28] (1996) la quale proponeva diverse analisi su come la crittografia potesse creare danni oltre che anonimato e/o privacy. In questo paper abbiamo diverse previsioni come l’estorsione tramite crittografia (ransomware) e l’utilizzo di criptovalute per poter monetizzare.

Il concetto di Young e Yung è divenuto una realtà tangibile, ad oggi il mondo ransomware e quello dei dark-markets sono dei veri e propri fenomeni caratterizzati da una forte persistenza motivata dalle ingenti somme che circolano al loro interno. La parola “persistenza” deve essere il pivot del discorso, il mondo criminale nasce sotto determinati requisiti piu’ o meno incentivanti ma allo stesso modo agisce con lungimiranza e preparazione.

Visto che sono stati citati diverse volte sia il mondo ransomware che quello dei dark-markets come fattori rilevanti alla necessità di queste regolamentazioni (sia da politici che dalla opinione pubblica), possiamo portare la nostra attenzione qui prima di muoverci sull’impatto che questo tipo di regolamentazione potrà avere sugli utenti.

Le criptovalute sono un’opzione di pagamento non la causa dei diversi crimini in questione ed anche solo immaginare che “tagliare” (parte di) queste opzioni risolva il problema è sintomo di un modo di pensare pericolosamente naive e semplicistico. Nel caso del mondo ransomware un approccio pro-attivo alla sicurezza informatico (sia livello macro che locale) è la vera soluzione. In ambito dark markets un potenziamento delle forze dell’ordine, un ampliamento delle collaborazioni tra i divers stati, training continuo e uno sviluppo di diversi strumenti di tracciamento è la chiave per poter contrastare tale fenomeno.

Vogliamo contrastare tali crimini? Focalizziamoci sulle cause e non offriamo alle minacce la possibilità di rendere realtà l’ipotesi delle “dark stablecoins” [29] dove si avrà meno raggio d’azione potenziando le capacità di tali attori. Ancora una volta le buone intenzioni possono portare a conseguenze irriversibili e auto-sabotanti.

Lo studio “Cryptocurrencies and drugs: Analysis of cryptocurrency use on darknet markets in the EU and neighbouring countries” (2023) [30] portato avanti da EUDA (European union Drugs Agency) ha mostrato come, tra le nazioni coinvolte, il ban delle criptovalute non ha risolto in nessuna maniera le attività dei dark markets.

Eight of the 54 countries (~15 %) in the sample have outright bans on cryptocurrencies, yet
engagement with DNM continues in these locations, particularly among those in the EU’s
Southern Neighbourhood.

Metodi di pagamento alternativi esistono già e vengono usate in questi ambienti per il riciclaggio di denaro sia per i gruppi RaaS che per il mondo dei dark markets. Inoltre risulta estremente difficile eseguire un vero e proprio ban su qualsivoglia crypto disponibile, gli exchanger peer2peer esistono e continuano ad essere usati rendendo difficile l’implementazione di processi KYC. In breve, anche se fosse la giusta strada, è troppo tardi per bannare anche parte di questa tecnologia.

Le alternative nasceranno sicuramente (eg:/ exchanger illeciti, voucher, gift cards, acquisto di asset controllati dalle minacce, cash via posta) ed avremo nuovi sintomi la quale renderà piu’ difficile le operzioni di contrasto e dove sicuramente dei ban non saranno cosi’ semplici da attuare (in maniera democratica). Nuovamente vendere queste soluzioni come l’argento per sconfingere Dracula è molto pericoloso, bisogna focalizzarsi sulle cause non sui sintomi.

La privacy e l’anonimato passano anche per le finanze e gli acquisti che un individuo vuole eseguire online, tale processo può essere eseguito in diversi modi non solo con le criptovalute. Mullvad [31] stesso consiglia ai suoi clienti di pagare in contanti per via postale rimanendo anonimi il piu’ possibile, se si vuole dare tracciabilità al 100% per mitigare le finanze illecite allora dovremmo vietare il contante?

La DeFi ha il suo valore nel mondo privacy/anonimato e come tale non va vietata a priori, il founder di Ethereum ha ammesso di aver utilizzato il mixer Tornado Cash [32] per fare donazioni all’Ucraina. Tale esempio è focale su come, anche se si è localizzati in uno stato favorevole, il diritto alla privacy deve essere preservato senza discriminazioni.

Wanting to donate to Ukraine is a great example of a valid need for financial privacy: even if the government where you live is in full support, you might not want Russian government to have full details of your actions.
— Jeff Coleman | Jeff.eth (@technocrypto) August 9, 2022

L’impatto che tale decisione avrà su questo tipo di utenti potrà rilevarsi irreversibile, nuovamente l’UE mostra ottusità nel contrasto del crimine. Questa incapacità di trovare soluzioni nuove e di evitare manovre semplici per fenomeni complessi è un grave segnale della direzione presa dalla commissione e di chi la rappresenta. Bisogna ristabilire un ambiente dove ogni decisione deve essere (1) soppesata in maniera adeguata, (2) presentata in maniera corretta e (3) basata con studio ed occhio empirico lasciando da parte asserzioni forvianti.

Considerazioni Finali – Investimenti, sensibilità ed empatia

I bassi investimenti in R&D dell’EU rispetto al resto del mondo [33][34][35] (portate da diverse cause che non copriremo in questa sede) hanno reso l’ambiente interno ai confini non adatto alle sfide moderne (non solo in ambito sicurezza ma anche economico e militare). La necessità di investire in ricerca, potenziare le forze dell’ordine e selezionare approcci efficacci si fa sentire piu’ che mai e sta portando a scelte politiche rischiose della quale potremo pagarne il prezzo in un futuro non troppo lontano.

Al di fuori di ciò si vuole sottolineare al come tali propost vengono presentate facendo leva su argomenti sensibili (tutela dei minori, utilizzo criminali di diverse tecnologie, tutela degli utenti online da diversi abusi) sfruttando la cosidetta weaponized empathy [36]. Questo approccio è una sfida (tra le tante) per gli ambienti democratici e non ha la giusta importanza nell’opinione pubblica. Tramite l’utilizzo dell’emapatia/emozioni/sensibilità si può convincere un pubblico di cose [37] false o portarli a supportare decisioni non adatte ai problemi posti.

L’opinione pubblica è certamente divisa quando si tratta di proposte sull’inserimento di identità digitali per social media o internet in generale, il che è lecito. Ciò che sorprene è la mancanza di argomentazioni pragmatiche sui pro e contro su chi vorrebbe tale proposta venga attivata. No, dire che se non hai nulla da nascondere non è una argomentazione. Affermare che la scelta di AGCOM tuteli i minori nemmeno. E neanche asserire che valute come Monero vengano usate solamente da criminali e che per questo debbano essere vietate.

Chiunque è responsabile di scegliere se mantenere la propria privacy online (e a che intensità) ma nessuno deve poter permettersi di limitare tale libertà. Se la sensibilità vale per una sponda deve essere giustificata anche dall’altra allo stesso modo.

Si parla spesso di introdurre una qualche forma di educazione sentimentale all’interno delle scuole col fine di evitare esperienze spiacevoli che si sono riscontrate all’interno di diverse comunità. Al di là di come la si pensi sul tema sarebbe interessante presentare tale proposta anche come misura (anche) per poter “rafforzare” le persone e renderle piu’ resilienti quando esposte a diversi segnali (tra cui weaponized empathy)? Quando tali proposte vengono annunciate è presente un clima basato per la maggior parte sulla emotività e su affermazioni di senso comune (“i minori vanno tutelati online”) senza dimostrazioni sulla efficacia cosi tanto richiesta.

Lavorare su questo aspetto sarà d’aiuto non solo in questi casi ma anche per fenomeni come la disinformazione o truffe che fanno leva sulla sensibilita’ altrui. Online le minacce ci sono e se si decide di accederci è necessario farlo con la giusta preparazione e conoscenza.

La sicurezza si ottiene anche grazie alla resilienza. Per ottenere resilienza bisogna uscire da zone di comfort ed entrare in contatto con la realtà dei fatti senza edulcorarla e questo richiede di rivalutare alcune posizioni che prima si consideravano “sacre”.

L'articolo L’Anonimato Digitale In Pericolo! Cosa Sta Decidendo l’Unione Europea? proviene da il blog della sicurezza informatica.

Google ha rilasciato aggiornamenti mensili per Android che risolvono 46 vulnerabilità. Uno di questi problemi è già stato sfruttato dagli aggressori e comporta l’esecuzione di codice arbitrario nella libreria FreeType.

Alla vulnerabilità sotto attacco è stato assegnato l’identificatore CVE-2025-27363 (punteggio CVSS 8.1) e rappresenta un problema nel componente di sistema che potrebbe causare l’esecuzione di codice locale senza richiedere privilegi aggiuntivi. Per sfruttare il bug non è richiesta alcuna interazione da parte dell’utente.

La causa principale del problema CVE-2025-27363 risiede nella libreria di rendering dei font open source FreeType e il bug è stato segnalato per la prima volta a marzo 2025. All’epoca, gli esperti spiegarono che la vulnerabilità era pericolosa per tutte le versioni di FreeType fino alla 2.13 ed era già stata sfruttata in attacchi.

“È stato riscontrato un problema di scrittura fuori limite nelle versioni di FreeType precedenti alla 2.13.0 quando si tentava di analizzare le strutture dei sottoglifi dei font associati ai file TrueType GX e dei font variabili”, hanno scritto i ricercatori. — Il codice vulnerabile assegna un valore short con segno a un valore long senza segno e poi aggiunge un valore statico, che provoca un overflow e l’allocazione di un buffer troppo piccolo nell’heap. Il codice scrive quindi fino a sei numeri interi lunghi con segno, estendendosi oltre i limiti di questo buffer. Ciò potrebbe portare all’esecuzione di codice arbitrario.”

Come riporta ora Google, la vulnerabilità potrebbe effettivamente essere soggetta a “sfruttamento limitato e mirato”. L’azienda non ha ancora diffuso dettagli su questi attacchi.

Altre vulnerabilità risolte da Google questo mese includono problemi in Framework, System, Google Play e nel kernel Android, nonché bug di sicurezza nei componenti proprietari di MediaTek, Qualcomm, Arm e Imagination Technologies. La maggior parte di essi sono correlati all’escalation dei privilegi.

L'articolo Aggiornamenti Android: corretta una grave falla già sfruttata, ecco cosa rischi proviene da il blog della sicurezza informatica.

When you think of Singer, you usually think of sewing machines, although if you are a history buff, you might remember they diversified into calculators, flight simulation, and a few other odd businesses for a while. [Techmoan] has an unusual device from Singer that is decidedly not a sewing machine. It is a 1970s-era multimedia briefcase called the Audio Study Mate. This odd beast, as you can see in the video below, was a cassette player that also included a 35mm filmstrip viewer. Multimedia 1970s-style!

The film strip viewer is a bright light and a glass screen with some optics. You have to focus the image, and then a button moves the film one frame. However, that’s for manual mode. However, the tape could encode a signal to automatically advance the frame. That didn’t work right away.

Luckily, that required a teardown of the unit to investigate. Inside was a lot of vintage tech, and at some point, the auto advance started working somewhat. It never fully worked, but for a decades-old electromechanical device, it did pretty well.

We do, sometimes, miss what you could pull off with 35mm film.

youtube.com/embed/d38vzTbevAg?…

hackaday.com/2025/05/15/not-a-…

As with all aging bodies, clogged tubes form an increasing issue. So too with the 47-year old Voyager 1 spacecraft and its hydrazine thrusters. Over the decades silicon dioxide from an aging rubber diaphragm in the fuel tank has been depositing on the inside of fuel tubes. By switching between primary, backup and trajectory thrusters the Voyager team has been managing this issue and kept the spacecraft oriented towards Earth. Now this team has performed another amazing feat by reviving the primary thrusters that had been deemed a loss since a heater failure back in 2004.

Unlike the backup thrusters, the trajectory thrusters do not provide roll control, so reviving the primary thrusters would buy the mission a precious Plan B if the backup thrusters were to fail. Back in 2004 engineers had determined that the heater failure was likely unfixable, but over twenty years later the team was willing to give it another shot. Analyzing the original failure data indicated that a glitch in the heater control circuit was likely to blame, so they might actually still work fine.

To test this theory, the team remotely jiggled the heater controls, enabled the primary thrusters and waited for the spacecraft’s star tracker to drift off course so that the thrusters would be engaged by the board computer. Making this extra exciting was scheduled maintenance on the Deep Space Network coming up in a matter of weeks, which would troubleshooting impossible for months.

To their relief the changes appears to have worked, with the heaters clearly working again, as are the primary thrusters. With this fix in place, it seems that Voyager 1 will be with us for a while longer, even as we face the inevitable end to the amazing Voyager program.

hackaday.com/2025/05/15/voyage…

The drivetrain of most modern bicycles has remained relatively unchanged for nearly a century. There have been marginal upgrades here and there like electronic shifting but you’ll still mostly see a chain with a derailleur or two. [Matthew] is taking a swing at a major upgrade to this system by replacing the front derailleur with a torque converter, essentially adding an automatic transmission to his bicycle.

Most of us will come across a torque converter in passenger vehicles with automatic transmissions, but these use fluid coupling. [Matthew] has come up with a clever design that uses mechanical coupling instead using a ratchet and pawl mechanism. There are two gear ratios here, a 1:1 ratio like a normal bicycle crank and a 1.5:1 ratio that is automatically engaged if enough torque is applied to the pedals. This means that if a cyclist encounters a hill, the gear automatically shifts down to an easier gear and then will shift back once the strenuous section is finished.

[Matthew] machined all the parts for this build from scratch, and the heavy-duty solid metal parts are both impressive but also show why drivetrains like this haven’t caught on in the larger bicycling world since they’re so heavy. There have been some upgrades in internally geared hubs lately though, which do have a number advantages over traditional chain and derailleur-based bikes with the notable downside of high cost, and there have been some other interesting developments as well like this folding mechanical drivetrain and this all-electric one.

youtube.com/embed/cMhvfIiR5gs?…

Thanks to [Keith] for the tip!

hackaday.com/2025/05/15/automa…

Once a printed circuit board (PCB) has been assembled it’s rather hard to look inside of it, which can be problematic when you have e.g. a multilayer PCB of an (old) system that you really would like to dissect to take a look at the copper layers and other details that may be hidden inside, such as Easter eggs on inner layers. [Lorentio Brodeso]’s ‘LACED’ project offers one such method, using both chemical etching and a 5 Watt diode engraving laser to remove the soldermask, copper and FR4 fiberglass layers.

This project uses sodium hydroxide (NaOH) to dissolve the solder mask, followed by hydrogen chloride (HCl) and hydrogen peroxide (H₂O₂) to dissolve the copper in each layer. The engraving laser is used for the removing of the FR4 material. Despite the ‘LACED’ acronym standing for Laser-Controlled Etching and Delayering, the chemical method(s) and laser steps are performed independently from each other.

This makes it in a way a variation on the more traditional CNC-based method, as demonstrated by [mikeselectricstuff] (as shown in the top image) back in 2016, alongside the detailed setup video of how a multi-layer PCB was peeled back with enough resolution to make out each successive copper and fiberglass layer.

The term ‘laser-assisted etching’ is generally used for e.g. glass etching with HF or KOH in combination with a femtosecond laser to realize high-resolution optical features, ‘selective laser etching’ where the etchant is assisted by the laser-affected material, or the related laser-induced etching of hard & brittle materials. Beyond these there is a whole world of laser-induced or laser-activated etching or functionalized methods, all of which require that the chemical- and laser-based steps are used in unison.

Aside from this, the use of chemicals to etch away soldermask and copper does of course leave one with a similar messy clean-up as when etching new PCBs, but it can provide more control due to the selective etching, as a CNC’s carbide bit will just as happily chew through FR4 as copper. When reverse-engineering a PCB you will have to pick whatever method works best for you.

Top image: Exposed inner copper on multilayer PCB. (Credit: mikeselectricstuff, YouTube)

hackaday.com/2025/05/15/laced-…